企業向けノックスプラットフォーム

  1. 序章
    1. SamsungのKnoxプラットフォーム
        1. なぜKnoxプラットフォームを使うのか?
        2. 企業にとっての主なメリット
      1. Knoxプラットフォームの差別化
      2. セキュリティ関連のハイライト
        1. ハードウェアによるセキュリティ
        2. アプリの分離
        3. データ保護
      3. 管理能力のハイライト
        1. デバイスの管理と展開
        2. デバイス管理サービス
        3. 詳細について
    2. 特徴の比較
  2. コアプラットフォームのセキュリティ
    1. Root of Trust
      1. Knoxプラットフォームの信頼できる環境
      2.  Root of Trustの仕組み
      3. ハードウェアによるセキュリティ
        1. 安全なハードウェア
        2. ハードウェアキー
        3. ハードウェアヒューズ
    2. リアルタイムカーネル保護(RKP)
      1. なぜカーネルの保護が重要なのか?
      2. RKPの設計と構造
      3. カーネル保護はどのようにして可能なのでしょうか?
      4. 充実したセキュリティ対策
    3. Trusted Boot
      1. 改ざんに対する安全なロックダウン
      2. セキュアブート上での構築
    4. デバイスヘルス認証
      1. 侵害されたデバイスの確実な検出
      2. Knoxの認証の仕組み
      3. Knox Attestationのユニークな利点
    5. Sensitive Data Protection (SDP)
      1. SDPの仕組み
      2. Knox SDPのユニークな利点
    6. App Container
      1. ハードウェアによるセキュリティ
      2. 粒度管理方針
        1. データ転送
        2. コンテナ専用制御
        3. コンテナの構成
        4. パスワードポリシー
  3. ネットワークセキュリティ
    1. Virtual Private Networks (VPN)
      1. Knox VPNフレームワークのユニークな利点
      2. 企業の要求事項をしっかりと処理する
      3. 安全性の高い組み込み型VPNクライアント
    2. Network Platform Analytics (NPA)
      1. NPA設計
      2. Knox NPAのユニークな利点
      3. NPA対応ソリューション
  4. 証明書管理
    1. Universal Credential Management (UCM)
      1. UCMフレームワーク
      2. 安全なストレージオプション
      3. UCM ホワイトリスト
    2. Client Certificate Manager (CCM)
      1. 証明書と鍵のアクセス制御
      2. デバイス固有の証明書による署名
      3. デバイスの完全性保証
      4. キーストアと他の機能との統合
    3. Certificate Enrollment Protocols (CEP)
      1. CEP非対称キー取得
      2. CEP動作環境
  5. デバイス管理
    1. デバイスソフトウェア更新管理
      1. なぜデバイスのソフトウェアアップデートを管理するのか?
      2. デバイスのファームウェアアップデートを厳密に管理
      3. ユーザーの更新に対するKnoxの制御
    2. Granular Device Management
      1. カスタムブートバナー
      2. 分割課金(デュアルAPN )
      3. デバイスのリモート管理者ロック
      4. エンタープライズローミング
      5. 粒度の高い政策
        1. 通話制限
        2. RCSロギング
        3. SMS管理
        4. SDカードの制限
        5. ブルートゥースの制限
        6. USBクラスの制限
    3. Samsung DeX Management
      1. なぜSamsung DeXを使うのか?
      2. DeXをカスタマイズするためにKnoxを使う
      3. Samsung DeXのユニークな利点
    4. Firewall Management
      1. デバイスのファイアウォールを管理・カスタマイズする理由
      2. インターネットアクセスのきめ細かな制御
      3. 安全でないURLへのアクセスを記録する
    5. リモートコントロール
      1. Knox Remote Control のユニークな利点
    6. 監査ログ
  6. ユーザー認証
    1. 生体認証
      1. Knox Biometricsの利点
  7. アプリとデータ保護
    1. 企業向け生産性向上アプリ
      1. Samsung電子メール
      2. Samsungのインターネットブラウザ
      3. Samsungの連絡先
    2. 高度なアプリ管理
      1. Knox App Managementのユニークな利点
        1. アプリ制御
        2. 高度なアプリのブラック化とホワイトリスト化
        3. 粒状のアプリコントロール
  8. 付録
    1. Knox認証
        1. 方法論
        2. セキュリティの原則
    2. Common Criteria Mode

序章

SamsungのKnoxプラットフォーム

SamsungのKnoxプラットフォームは、最も普及しているコンシューマ・デバイスの防衛グレードのセキュリティをすべての企業に提供します。Knoxプラットフォームは、今日のモバイルデバイス市場で一般的な標準機能を超える、クラス最高のハードウェアベースのセキュリティ、ポリシー管理、コンプライアンス機能を提供します。Knoxプラットフォームは、多種多様なSamsungデバイスをサポートする強力なモバイルセキュリティ戦略の礎となっています。

なぜKnoxプラットフォームを使うのか?

Knoxプラットフォームは、お客様と企業が多くのモバイルプラットフォームに共通するセキュリティギャップを回避するのに役立ちます。Knoxは、Gartner社が2017年12月に発表した「Mobile OSs and Device Security」において、28のカテゴリのうち25のカテゴリで強力な評価を受けました。「プラットフォームの比較」では、過去3年連続で強い評価を得ています。

Knoxプラットフォームのセキュリティ強化は、モバイルデバイスの操作のあらゆる側面をサポートします。Knoxプラットフォームは、Samsungが特許を取得したリアルタイムカーネル保護(RKP)などの高度な機能により、モバイルデバイスベンダーの中でも最高のカーネル保護技術の1つとしてモバイルエンドポイントの信頼性を高めます。Knoxプラットフォームは、IT管理者が最高のモバイルデバイスハードウェアを安全に一括導入し、既存のビジネスインフラストラクチャやアプリと迅速に統合できるようにします。

企業にとっての主なメリット
  • 堅固なプラットフォームの完全性、強力なデータ保護、およびきめ細かなポリシーの実施を提供することで、組織のセキュリティとコンプライアンスの要件を容易に満たすことができます。
  • Enterprise Mobility Management(EMM)システムを介して、Knoxプラットフォームの機能をシームレスにアクティブ化し、管理します。
  • 集中型リモートデバイス制御、高度なVPN管理、アプリのホワイトリスト化とブラックリスト化、およびSamsungデバイスのすべての側面を制御する粒度の高いポリシーを介して、インフラストラクチャ、展開、および管理要件を柔軟にサポートします。
  • 既存の展開に影響を与えることなく、包括的なKnoxプラットフォームの利点を活用して、Android Enterpriseから簡単にアップグレードすることができます。
  • 革新的なSamsung Desktop Experience(DeX)を新しい職場環境に安全に導入し、モバイルコンピューティングとデスクトップコンピューティングを1つのデバイスに統合します。

Knoxプラットフォームの最先端のセキュリティ技術は、世界中の多くの政府機関、セキュリティ機関、金融機関で広く採用され、証明され続けています。Samsungは、公共の安全と消費者のプライバシーを保護するために設計された幅広い認証要件を満たすために、グローバルな政府機関や国際的な規制機関と継続的に協力しています。

Knoxプラットフォームの差別化

Knoxプラットフォームは、基本的なAndroidプラットフォームの上にある機能のスーパーセットである堅牢な機能セットを提供し、セキュリティと管理のギャップを埋め、企業が特定した問題点を解決し、高度に規制された業界の厳しい要件を満たしています。以下に主な差別化機能をまとめました。

 

これらの機能が異なるプラットフォーム間でどのように比較されているかについては、9 ページの「機能比較」を参照してください。

セキュリティ関連のハイライト

次のセクションでは、Knoxプラットフォームが、モバイルデバイスの管理を安全かつ容易にするために、業界をリードする製品やサービスのエコシステムを提供する方法について説明します。

ハードウェアによるセキュリティ

Knoxプラットフォームは、ハードウェアでバックアップされた信頼できる環境の上に構築されたセキュリティのレイヤーによって、セキュリティの脅威から守り、企業データを保護します。

  • 信頼された環境 – 信頼された環境は、セキュリティ上重要なコードをオペレーティングシステムの他の部分から分離します。この戦略的な分離により、攻撃や悪用から分離・保護された信頼されたプロセスのみが、データの暗号化や復号化などの機密性の高い操作を実行できるようになります。信頼された環境では、ソフトウェアを実行する前に完全性チェックが行われます。このチェックは、信頼された環境とデバイス上で実行されているソフトウェアを変更しようとする悪意のある試みを検出します。
  • ハードウェアバックアップ – 信頼された環境は、ハードウェア保護が実行中のシステムの他の部分から環境を隔離している場合、ハードウェアバックアップされています。この分離により、メイン オペレーティング システムの脆弱性が信頼された環境のセキュリティに直接影響を与えないことが保証されます。また、信頼された環境で実行されるソフトウェアの完全性チェックは、デバイスのハードウェアに保存されている暗号署名に関連付けられています。ハードウェアによる完全性チェックにより、攻撃者がソフトウェアの脆弱性を悪用して保護機能を迂回したり、承認されていないソフトウェアを信頼された環境にロードしたりすることを防ぎます。

Knoxプラットフォームは、ハードウェアでバックアップされた信頼できる環境を使用しており、特定のコンポーネントはデバイスのハードウェアに依存します。たとえば、ARMプロセッサは、ARM TrustZone、ARM Hypervisor Mode、Embedded Secure Elementsなどのコンポーネントを活用したTrusted Execution Environment(TEE)を提供しています。トラステッド環境を使用するKnoxの機能には、リアルタイム カーネル保護(RKP)、トラステッド ブート、デバイス ヘルス認証、証明書管理、センシティブ データ保護(SDP)、ネットワーク プラットフォーム アナリティクス(NPA)などがあります。

アプリの分離

Knoxプラットフォームは、アプリの分離を使用して、不正なアプリが意図的または不注意で不正なデータにアクセスするのを防ぎます。Knoxプラットフォームでは、Samsungデバイス上に保護されたアプリコンテナスペースを作成するために、いくつかの形式のアプリ分離を提供しています。各オプションは、Security Enhancements for Android(SE for Android)と呼ばれる同じコア分離技術に基づいています。SE for Androidは、SELinuxとAndroidを統合したもので、Androidコンポーネントとデザインパラダイムをカバーするように拡張されています。Knoxプラットフォームでは、以下のようなオプションを提供しています。

  • SamsungデバイスでのAndroid Enterprise – Android Enterpriseでは、ワークプロファイルによるアプリの分離が可能で、エンタープライズアプリとパーソナルアプリの基本的な分離を実現します。SamsungデバイスでAndroid Enterpriseを使用する場合、Knoxは、リアルタイムカーネル保護(RKP)、セキュアなエンタープライズアプリ、証明書と鍵のハードウェアバックアップストレージなどの機能を提供し、Android EnterpriseをSamsungデバイス上でさらに優れたものにします。
  • Knox Workspace – Knox Workspaceは、Android Enterpriseをベースにセキュリティと管理機能を強化しています。具体的には、Knox Workspaceにはハードウェアによる完全性チェック機能が搭載されています。これらのチェックは、デバイスやそのセキュリティ保護の改ざんを検出し、Knox Workspaceをロックダウンして機密データを保護します。Knox Workspaceはセンシティブ・データ保護(SDP)もサポートしており、デバイスの実行中にデータを暗号化し、デバイス・ユーザーが認証してKnox Workspaceをロック解除した後にのみ復号化します。さらに、Knox Workspaceは、Knox Workspaceの強制2要素認証、認証にエンタープライズActive Directoryの資格情報を使用すること、Knox Workspaceのエンタープライズデータのインポートとエクスポートを管理することなど、より詳細なデバイス管理を提供します。
  • SE for Android Management Service (SEAMS) – SEAMSを使用すると、単一のアプリまたは信頼できるアプリの小さなセットを分離して、同じコンテナ内のアプリをロックダウンすることができます。SEAMSで作成されたアプリコンテナは、Knox Workspaceと同じメリットを提供します。ただし、最初の2つのオプションとは異なり、SEAMSコンテナには特別なGUIはありません。SEAMSコンテナ内のアプリは、デバイス上の他のアプリと一緒に表示されますが、同じコンテナを共有していないアプリから隔離され保護されていることを示すために、シールドバッジで区別されます。これらのSEAMSコンテナは、その場で好きなだけ作成することができます。

Knox Workspaceを使用することで、企業は、金融、医療、政府などの高度に規制された業界内での作業に必要なものなど、要件を強制するための追加のセキュリティおよび管理ポリシーを導入することができます。

データ保護

企業は、Knoxの豊富な機能セットを使用して、モバイルデバイス上の個人および企業のデータを保護することができます。

  • ユーザー認証 – Samsung Knoxデバイスは、パスワード、PIN、およびパターン認証だけでなく、最新のバイオメトリック認証をサポートしています:指紋、虹彩、顔、およびインテリジェントスキャン。オプションは、デバイスのロックスクリーン認証と別個のノックスワークスペース認証の両方で利用可能です。Knoxプラットフォームを介して、Knox WorkspaceまたはエンタープライズADの認証情報に二要素認証を提供し、より強力なデータ保護を実現することができます。
  • デバイスデータの暗号化 – Samsung Knox デバイスは、ハードウェアでバックアップされた Root of Trust とユーザー認証にバインドする Sensitive Data Protection を通じてデータを暗号化します。この暗号化により、データが保存されているデバイス上でのみ、デバイスの所有者のみがデータを復号化できるようになります。また、このKnoxプラットフォーム・モデルは、デバイスのいかなる改ざんも機密データへのアクセスを確実にロックダウンし、復号化や悪意のあるアクセスを防ぎます。
  • ネットワークデータの暗号化 – Samsung Knoxデバイスは、高度なVPN機能の幅広い選択肢を提供し、Knoxワークスペースだけでなく、個々のアプリケーション用に別個のVPNを設定する機能を提供し、データの分離をさらに強化します。Knox は、常時接続 VPN、オンデマンド VPN、オンプレミス VPN バイパス、HTTP プロキシ over VPN、複数のアクティブなトンネル、厳格なデータ漏洩制御、VPN チェイニングまたはカスケードなどの機能も提供します。
  • デバイスのトラッキング、ロック、消去 – Samsung Knoxデバイスは、イベントやセキュリティポリシーに基づいてデバイスをトラッキング、ジオフェンス、および自動的にロックする機能を提供します。たとえば、指定された地理的境界線を離れるデバイスは、データのワイプ、または工場出荷時のデフォルトにリセットされ、ロックされています。

管理能力のハイライト

デバイスの管理と展開

数十台、数百台、数千台の従業員のモバイルデバイスを持つ企業は、それらを簡単、安全、効率的に管理する必要があります。EMMシステムを介して、企業のIT管理者は、Webコンソールを使用してデバイスを集中管理およびリモート管理することができます。IT管理者は、Samsung Knoxデバイスを包括的に制御し、デバイスの機能を簡単に管理することができます。

この管理は、Samsung のデバイスをきめ細かく柔軟に制御するための1500以上のAPIを提供するSamsung Knox SDKを介して可能です。この機能は、Android SDKで提供されている基本的なAPIに加えて、より強力な機能のスーパーセットを提供しています。従業員デバイス上のEMMアプリは、EMMウェブコンソールからIT管理者コマンドを受信し、Knox APIを呼び出してKnoxデバイスにコマンドを展開します。この統合により、企業のIT管理者は、Knoxデバイスのあらゆる側面を管理し、安全を確保するためのITポリシーを展開することができます。

デバイス管理サービス

セキュリティ以外のさまざまなビジネスニーズに対応するために、Samsung Knoxのポートフォリオは、モバイルデバイスの展開、カスタマイズ、管理を容易にする堅牢なクラウドサービスによって補完されています。これらのサービスには以下が含まれます。

  • Knox Mobile Enrollment – この無料サービスでは、企業はウェブコンソールまたはREST APIコールを使用して、個別または一括でデバイス登録を自動化することができます。IT管理者がこのサービスでデバイスを登録した後、デバイスユーザーはデバイスの電源を入れてWi-Fiまたは3G/4Gネットワークに接続するだけで、EMMシステムに登録することができます。個々のデバイスを手動で登録する必要はなく、IMEIの管理と検証の必要もありません。
  • Knox Configure – Samsungの携帯電話、タブレット、およびウェアラブルは、ホスピタリティ、小売、エンターテイメントなどの多数の垂直市場で動作するように完全にカスタマイズ可能です。システム・インテグレータは、ウェブ・コンソールを通じて、情報キオスク、POS端末、機内エンターテイメント・システムなど、カスタマイズされたユーザー・インターフェースを提供する専用デバイスを作成することができます。システム・インテグレータは、カスタム企業ロゴを組み込んだ起動アニメーション、ディスプレイ設定、壁紙、ネットワーク設定、通知、ソフトウェア更新など、デバイス構成とユーザー体験のほぼすべての側面をカスタマイズまたは制限することができます。
詳細について

このホワイトペーパーでは、Knoxプラットフォームのセキュリティ機能の概要と、企業のモバイル導入における一般的な問題点を解決する方法について説明しています。このドキュメントでは、Knox プラットフォームのユニークな機能に焦点を当てています。その他の機能については、Samsung Knoxのウェブサイトを参照してください。

特徴の比較

以下の表は、SamsungのKnoxデバイスがSamsung以外のデバイスに比べて、Knox Platform for Enterprise (KPE)がAndroid Enterprise (AE)に比べてどのようなメリットがあるかをまとめたものです。KPE Standardは、AEの上にセキュリティの主張と能力を追加します。KPE Premiumでは、エンタープライズ展開に向けてさらに強力な機能を提供します。詳細については、Knox Platform for Enterpriseのホームページをご覧ください。

特徴非SamsungデバイスのAESamsungデバイスのKPE規格Samsung端末のKPEプレミアムAEよりもKPEの方が優れている点
すべてのAndroidエンタープライズ機能KPEはAEのスーパーセットです。SamsungのデバイスでAEを使用する場合でも、セキュリティと管理性のコントロールが改善されているため、体験はさらに向上しています。
セキュリティ
Hardware-Backed Keystore?この機能はハードウェアに依存した主張です。そのため、Android 7以降、AEはハードウェアでバックアップされたキーストアの使用を義務付けていますが、最終的にはデバイスメーカーが実装しなければならず、誰もがそうしているわけではありません。Samsungの場合は、すべてのKnoxデバイスにハードウェア保護に裏打ちされたキーストアが搭載されています。
Secure Lockdown on Tampering重要なセキュリティ侵害を検知すると、システムは機密領域をロックダウンし、不正な企業データへのアクセスや漏洩を防止します。Samsungは、デバイスの改ざんの証拠がある場合には、コンポーネント全体の実行を防止します。AEは、以前にインストールされたキーへのアクセスを防止することに主張を制限しています。
Remote Device Health不正なファームウェアなどのセキュリティ問題を持つデバイスを正確に可視化することで、すぐに対策を講じることができます。AEはソフトウェアベースのSafetyNet APIを提供し、KPEは信頼性の高いハードウェアベースのデバイス認証チェックを提供します。AEにはデバイス固有の署名キーがないため、デバイスのIDを詐称することができます。
Audit Logトラブルシューティングと政府のコンプライアンス要件を満たすための包括的なデバイス監査ログを提供します。
Keystore Support of eSE & Other High-SecurityAEはAndroid PでeSEをサポートします。KPEはすでにeSEをサポートしながら、ベンダーのプラグインを使用してサードパーティのセキュアストレージオプションもサポートしています。UCMフレームワークを通じて、アプリの変更は必要ありません。
注 – eSEは、以下の国のキャリアでは利用できません。米国 – Verizon、韓国 – すべて、日本 – すべて、カナダ – Telus。
Real-Time Kernel Protection (RKP)カーネルコード、カーネルデータ、カーネル制御フローの保護を含む、クラス最高のカーネル攻撃防止機能。Samsung デバイスで起こりうる攻撃の種類を大幅に制限します。
Sensitive Data Protection (SDP)基本的な AE では、デバイスのデータはデバイスが起動すると復号化されます。KPEのSDPでは、選択したファイルは実行時に暗号化されたままで、デバイスユーザーがデバイスのロックスクリーンまたはKnox Workspaceのログインで自身を認証した後にのみ復号化されます。KPEは、デバイスまたはKnox Workspaceがロックされたときに復号化キーを排出し、米国政府および軍のMDFPP要件に準拠しています。
Enforced Two-Factor AuthenticationIT管理者は、Knoxワークスペース、ワークプロファイル、またはマネージドデバイスにログインする際に、エンドユーザーの2要素認証を強制的に行うことができます。認証は、従来の方法(パスワード、PIN、パターン)だけでなく、バイオメトリクス(指紋、虹彩、顔)を使用することもできます。
Government-Grade Common Criteria Mode共通基準(防衛)展開のための準拠状態にデバイスを設定することを簡素化します。
App Isolation Groups (SEAMS)GUIを備えた古典的なアプリコンテナとは異なり、「見えない」アプリ分離グループを管理して、任意のセットのアプリを他のセットから保護することができます。最大300個のグループ化が可能です。
Secure Certificate Enrollment AgentsSamsungは、最新のセキュリティプロトコルに従った証明書登録エージェントの無料セットを提供しています。証明書を安全でないように登録したり、独自のプロトコルを実装する理由はありません。
管理性
Manage Device Software UpdatesSamsungのE-FOTAライセンスは、内部テスト後のファームウェアアップデートの制御されたロールアウトを可能にします。独自のシステムやアプリとの互換性の問題を回避します。アップデートのためのユーザーの操作を最小限に抑えます。KPEは、AEにはないきめ細かなファームウェアコントロールを提供します。例えば、最高に受け入れられるファームウェアバージョンを設定したり、特定の日付/時刻に特定のファームウェアバージョンをデバイスのセットに適用したり、すべての自動ファームウェアアップデートをブロックしたりすることができます。
Remote Controlデバイスポリシー設定を使用して有効にすると、この機能により、IT 部門は従業員のデバイスをリモートで制御して、現場でモバイルデバイスのトラブルシューティングや修正を行うことができます。AE は、デバイスをリモート制御するためのイベントの注入をサポートしておらず、デバイスの画面をリモートで表示することのみをサポートしています。
Customizationデバイスソフトウェアと UI のさまざまな側面を IT がカスタマイズできるようにします。AEで利用できる機能に加えて、KPEは追加の機能を提供します。KPE Standardでは、タスクマネージャ、ハードウェアキー、マルチウィンドウモードなどの有効化と無効化の機能を提供します。KPE Premiumでは、ブートバナーやアニメーションのカスタマイズ、特定のシステム通知のブロック、電源オフダイアログ画面に表示される項目のカスタマイズ、ボリュームキーをアプリのタスク切り替えにマップするなどの機能を提供します。
Granular Roaming ControlsITは、高額な通話料、テキスト料金、データ料金が発生することが多いローミングモバイル接続の使用を許可したり、許可しなかったりできます。AEは、IT管理者がモバイルデータを無効にすることを許可するだけです。IT管理者は、他のデータ使用を許可しながら、通話やアプリのアップデートのダウンロードをブロックすることはできません。また、KPE Premiumは、分割課金に対応するために、APNごとに個別のローミング制御を可能にします。
Admin Device Lock有効な資格情報によるアクセスの防止を含め、IT 部門はデバイスのすべての使用をロックアウトすることができます。この機能は、敵対国への渡航を含むエンドユーザーのポリシー違反に対処するために価値があります。
Data Sharing PolicyAEは個人の連絡先で仕事の連絡先の検索を提供していますが、KPEは連絡先、カレンダー、通知のデータ同期を提供しています。KPEは、個人のイベントと仕事のイベントの両方で統一されたカレンダーを提供することができます。
Firewall Managementデバイスのファイアウォールルールを設定する業界唯一の機能。KPEは、従業員がブロックされたドメインを訪問しようとしたときにITに通知することもできます。
Granular Device PoliciesSMS/MMSの免責、RCS/SMS/MMS/MMSロギング、通話制限、SDカードの読み書き制限、Bluetoothプロファイルの詳細な制限、DeXの展開設定の管理など、AEではサポートされていないポリシーを使用して、コンプライアンスやその他の展開要件を満たします。
Advanced Workspace Configurationコンテナ内のBluetooth、SDカード、USBなどの技術に対して厳格なポリシーを適用し、コンテナ外でのフル使用を可能にします。
Unlock using Active Directory Credentials従業員にWindowsノートパソコンとモバイルデバイス用に別々の資格情報を覚えさせる必要はありません。デバイスユーザーは、既存のActive Directoryの資格情報を使用してデバイスのロックを解除することができます。
Split Billing (Dual APNs)企業が承認された業務用アプリのデータ使用料のみを支払うことが可能になります。個人データの利用料金は従業員の負担となります。
Network Analyticsすべてのネットワーク トラフィックへの完全なアクセスを許可することなく、ネットワーク脅威検出ソリューションを展開することができます。
VPN
VPN Granularity: Per-App, Per-Container, or Whole DeviceKPEは、最もきめ細かなVPN制御を提供します。コンテナや個々のアプリだけでなく、デバイス全体のVPNトンネルでKPEを構成することができます。
Always On VPNKPEは、VPNクライアントがクラッシュした場合やデバイスの再起動中であっても、設定されたVPNを迂回するトラフィックをブロックする厳格な制御を行っています。
On-Demand VPN特定の対象アプリが起動または実行されているときだけVPNを有効にするように設定できます。この機能はVPNクライアントのサポートを必要としません。
HTTP Proxy over VPNトンネリングされた VPN トラフィックでの Web プロキシの使用を有効にします。
VPN Chaining2 つの VPN トンネルを使用してトラフィックを二重に暗号化し、匿名性を高め、VPN 層のセキュリティバグがネットワークの暗号化を侵害するのを防ぎます。

 

コアプラットフォームのセキュリティ

Root of Trust

ネットワーク上のすべてのデバイスが同時にマルウェアに感染し、機密データを盗み見していることを想像してみてください。攻撃やエクスプロイトは、進化するモバイル・デバイスのセーフガードの一歩先を行くために、洗練されたものになり続けています。では、すべてのデバイスで同時に動作する単一のソリューションとは何でしょうか?暴露を最小限に抑え、侵入を検知し、機密情報をロックダウンする堅牢なRoot of Trustスタックを構築することです。

Root of Trustは、最新のセキュリティプロトコルの基礎となるものです。これは、ソフトウェアレベルではなく、ハードウェアレベルから始まる一連の厳格なチェック&バランスです。この機能により、デバイスにセキュリティレベルが追加され、ハードウェアはソフトウェアよりも不変であるため、攻撃を受けにくくなります。

Root of Trust は、次のような多くの複雑なセキュリティ上の疑問に答えてくれます。

  • 侵害された OS が実行時に起動されたかどうかをどうやって知ることができるのか?
  • 証明書が安全に保存されていることを信頼できるか?
  • エクスプロイトによってカーネルや他のシステムソフトウェアが変更されていないか?

この問題に対処するためのSamsungのアプローチは、信頼できるコンポーネントを通じて、すべてのセキュリティ上重要な機能をボトルネックにすることです。これらの信頼できるコンポーネントは、以下の点を考慮して徹底的に設計され、レビューされ、維持されています。

  • どのような保証が必要ですか? セキュリティの高い企業のパートナーは、自社のシステムとインターフェースするソフトウェアを制御し、監査する能力を必要とします。エンドユーザは、デバイスの機能やデータの使用許可を拒否する権限を持たなければなりません。各ユーザ、パートナー、および統合されたシステムにはそれぞれ独自の要件がありますが、その多くはRoot of Trustによって大部分が保証されています。
  • コンポーネントはどのようにしてより複雑な保証に貢献できるのでしょうか? Trusted Bootプロセスは、ブートローダから Android フレームワークへの制御の信頼できる転送を可能にします。この信頼できる制御の伝達は、管理者がデバイス上で実行されているアプリを監査する上で重要な役割を果たします。セキュアブートは、ソフトウェア、設定ファイル、デプロイメントプロセス、アップデートプロセスを検証する多くの小さなコンポーネントの上に構築された複雑なプロセスです。これらの小さなコンポーネントのそれぞれがセキュアブートプロセスに貢献し、セキュアブートプロセス自体が他のプロセスのセキュリティに貢献します。
  • これらのコンポーネント、その保証、および使用方法をより強固なものにするにはどうすればよいのでしょうか? Samsung Knox デバイス上の各トラステッド アプリケーションは、最終的に各 Root of Trust を表します。これらの信頼できるアプリケーションには、デバイスのアイデンティティ、キー管理、デバイスの健全性のリモート認証などの機能が含まれています。Samsung Knoxは、これらの信頼できるアプリケーションを使用して独自の保証を提供しています。

Knoxプラットフォームの信頼できる環境

Knox Platformは、4つの方法で業界をリードする独自の信頼できる環境を構築します。

  • 他のコンポーネントに依存するハードウェアでバックアップされたRoot of Trustを確立します。
  • Trusted Boot などの機能により、起動時に信頼を構築します。
  • デバイスの使用中も、Real-Time Kernel Protection などの機能により信頼を維持します。
  • デバイスの健全性を証明することで、必要に応じて信頼性を証明します。

このプロセスとその構成要素は以下の通りです。

 

 Root of Trustの仕組み

  1. Knox Platformのセキュリティは、ユーザーがモバイルデバイスの電源を入れる前に、ハードウェア乱数発生器を使用してデバイス上にDUHK(Device-Unique Hardware Key)が生成されることで、工場内で開始されます。
  2. 次に、DUHKは、Device Root Key(DRK)とSamsung Attestation Key(SAK)を生成し、暗号化します。
  3. デバイスの起動時に、SamsungはSamsung Secure Boot Key (SSBK)を使用して、すべてのソフトウェアコンポーネントをチェックします。コンポーネントの 1 つに TrustZone Secure World があり、セキュアなコードとデータ用に予約されたチップ パーティションです。TrustZone Secure World 内で実行されている特別な特権を持つソフトウェア モジュールのみが、これらのキーにアクセスできます。
  4. ソフトウェアは、Knox Platformの各機能を実行する前にチェックを行います。この一連のセキュリティチェックは、最初のハードウェアチェックから始まるため、各機能はハードウェアのRoot of Trustによって保護されています。攻撃者がチェーンのどのリンクをターゲットにしていても、セキュリティチェックのいずれかがそれを検出します。

ハードウェアによるセキュリティ

Knox Platformの信頼された環境は、次のハードウェアコンポーネントを活用しています。

安全なハードウェア
  • ARM TrustZone Secure World – Secure Worldは、機密性の高いソフトウェアが動作する環境です。ARM TrustZone ハードウェアは、セキュアとマークされたメモリとコンポーネント(指紋リーダーなど)がセキュア ワールドでのみアクセスできることを保証します。カーネル、ミドルウェア、アプリケーションなどのシステムのほとんどは、ノーマル・ワールドで実行されます。一方、Secure World ソフトウェアはより特権的で、Secure World と Normal World の両方のリソースにアクセスできます。
  • Bootloader ROM – Primary Bootloader(PBL) は、ブートプロセス中に最初に実行されるコードです。PBL は、ブートチェーンを測定し、検証するために信頼されています。改ざんを防ぐために、PBL は安全なハードウェアの ROM に保存されます。デバイスハードウェアは、ブート時に PBL を ROM からロードして実行し、PBL はセキュアブートプロセスとトラステッドブートプロセスを開始します。
ハードウェアキー
  • Device-Unique Hardware Key(DUHK) – Samsungは、デバイスの初期製造時にデバイス固有の対称キーであるDUHKをデバイスのハードウェアに組み込んでいます。DUHKは、特定のデバイスにデータ(例えば、デバイスの健康状態の認証データ)をバインドし、ハードウェア暗号化モジュールのみがアクセス可能で、デバイスソフトウェアには直接公開されません。しかし、ソフトウェアはDUHKにデータの暗号化と復号化を要求することができます。このDUHKで暗号化されたデータはデバイスにバインドされているため、他のデバイスで復号化することはできません。
  • Device Root Key (DRK) – DRK は、デバイス固有の非対称 RSA 鍵ペアで、X.509 証明書を介して Samsung のルート鍵によって署名されます。この証明書は、サムスンがDRKを生成したことを証明します。DRKはSamsungの工場で製造時に生成され、DUHKによって暗号化されてデバイスに保存され、デバイスに結合されます。DRKはTrustZone Secure World内からのみアクセス可能で、DUHKによって保護されています。DRK は、他の署名キーを導出するため、Root of Trust の重要な部分です。DRK はデバイス固有のものであるため、暗号署名を使用してデータをデバイスに結びつけることができます。署名鍵はDRKから派生し、データの署名に使用されます。
  • Samsung Secure Boot Key (SSBK) – SSBK は、Samsung が承認したブート実行ファイルに署名するために使用される非対称キーペアです。
    • SSBK のプライベート部分は、Samsung がセカンダリおよびアプリのブートローダに署名するために使用します。
    • SSBK の公開部分は、Samsung の工場での製造時にハードウェアのワンタイムプログラマブルヒューズに格納されます。セキュアブートプロセスは、この公開鍵を使用して、ロードする各ブートコンポーネントが承認されているかどうかを検証します。
  • Samsung Attestation Key (SAK) – SAK は、Samsung のルートキーで署名されたデバイス固有の非対称キーペアでもあります。この署名されたキー・ペアは、SAKがSamsungによって生成されたことを証明します。SAKは、デバイスが信頼された状態にあるかどうかを示すAttestation blobに署名するために使用されます。この署名は、認証データが Samsung デバイスの TrustZone Secure World から発信されたものであることを証明します。DRK とは異なり、SAK は ECDSA キーのセットです。ECDSA は新しい非対称アルゴリズムで、RSA に似ていますが、同じ強度であればより小さく、より高速です。
ハードウェアヒューズ
  • Rollback Prevention (RP) ヒューズ – これらのヒューズは、Samsung が承認したブートローダの最小許容バージョンをエンコードしています。古いソフトウェアには、悪用される可能性のある既知の脆弱性が含まれている可能性があります。ロールバック防止は、承認されていても古いブートローダをロードしないようにします。RP ヒューズのバージョン番号は、システムソフトウェアの初期インストール時と特定の更新時に設定されます。RP ヒューズのバージョン番号が設定されると、レガシーソフトウェアのバージョンに戻すことはできません。
  • Warranty fuse – Knox プラットフォームは、デバイスが未承認の状態で起動したことがあるかどうかを示す 1 回限りのプログラマブルなヒューズを使用します。承認されていないコンポーネントが使用されていることがTrusted Bootプロセスで検出された場合、またはSELinuxなどの特定の重要なセキュリティ機能が無効になっている場合、ヒューズが設定されます。ヒューズが設定されると、次のようなセキュリティ対策が行われます。
    • デバイスの健全性認証チェックは失敗します。
    • Knox Keystore は、データの暗号化および復号化にセンシティブデータ保護で使用されるキーを削除し、センシティブデータへのアクセスを防止します。
    • Knox Workspace が動作しなくなり、保護されたエンタープライズ アプリやデータへのアクセスができなくなります。

リアルタイムカーネル保護(RKP)

Knoxプラットフォームをの特許取得済みのReal-time Kernel Protection(RKP)は、カーネルの脅威や悪用に対する業界最強のプロテクションです。RKPは、設定をする必要がなく、箱から出してすぐにシームレスに動作します。Samsung Knoxデバイスに電源を入れるだけで、世界クラスの脅威からの保護と攻撃の軽減を実現します。RKPはKnoxの残りのセキュリティ製品をサポートしており、モバイルデバイスで予想される典型的なギャップなしに完全なセキュリティカバレッジを提供します。

なぜカーネルの保護が重要なのか?

カーネル保護は、デバイスセキュリティと企業データ保護の中心的な役割を果たしています。攻撃者がソフトウェアの脆弱性を発見すると、多くの場合、特権を昇格させ、OS の中核であるカーネルを危険にさらします。

危殆化したカーネルは機密データを漏洩させ、影響を受けたデバイスの遠隔監視や制御を可能にすることさえあります。セキュアブートやハードウェアでバックアップされたキーストアのような他のより一般的な保護は、カーネル自体が実行時に制御されている場合にはほとんど価値がありません。デバイスが起動して機密コンテンツを解読した後、カーネルの漏洩は企業のデータの整合性に直接影響を与えるデータ漏洩を引き起こす可能性があります。

RKPの設計と構造

Knoxプラットフォームのセキュリティ製品の一部として、RKPは隔離された実行環境内でセキュリティモニタを採用しています。デバイスモデルに応じて、専用のハイパーバイザーまたはARM TrustZoneテクノロジーが提供するハードウェアでバックアップされたセキュアワールドのいずれかが、隔離された実行環境を提供します。

 

RKPのカーネルからの分離は、Trusted Computing Base (TCB)を縮小し、カーネルを危険にさらすように設計された攻撃から保護するのに役立ちます。このユニークな機能により、RKPは最も一般的なカーネル攻撃を検出し、防ぐことができます。RKPの保護は3つの領域に分類されています。

  • カーネルコード – RKPはカーネルコードとロジックの変更を防ぎます。
  • カーネルデータ – RKPは、重要なカーネルデータ構造の変更を防ぎます。
  • カーネル制御フロー – RKPは、既存のカーネルロジックを再利用してカーネル自身のコードから悪用を組み合わせるリターン指向プログラミング(ROP)やジャンプ指向プログラミング(JOP)攻撃を防ぎます。

カーネル保護はどのようにして可能なのでしょうか?

カーネル自体に欠陥がある場合、攻撃者はそれを回避することができるので、カーネル保護メカニズムはカーネルだけに完全に存在することはできません。カーネルは OS 上で最も低い粒度の制御レベルであり、通常、システム内のどの下位レベルからも効果的に監視することはできません。

RKPは、隔離された実行環境内でのセキュリティモニタを独自に採用しています。隔離された実行環境で実行することは、通常、セキュリティメカニズムがカーネルを覗き込んで実行時の動作を監視する能力を損なうことになります。しかし、RKPはデバイスのメモリ管理を制御する特許取得済みの技術を利用し、実行を許可する前に重要なカーネルアクションを傍受して検査することで成功しています。このようにして、RKPは他のセキュリティ保護を迂回して危殆化したカーネルを防ぐことができます。この防御により、カーネル攻撃の深刻度が大幅に低下し、通常モバイルデバイスを無力化するような悪用の有効性が制限されます。

RKP は常にアクティブで管理制御を必要としないため、カーネル保護は厳格なユーザビリティとパフォーマンスの要件を満たしている場合にのみ可能です。RKP の保護機能は箱から出してすぐに起動し、顧客のパフォーマンスに影響を与えることはありません。

充実したセキュリティ対策

毎年、Samsungの研究開発チームは、最新のランタイム保護機能を追加し、RKPにしかない独自の機能のリストを増やしています。

RKPは、Samsungの総合的なセキュリティソリューションの一部に過ぎませんが、ハードウェア、ソフトウェア、および高度なセキュリティ研究を組み合わせることで、独自のセキュリティ保証が可能になることを見事に実証しています。セキュリティの主張が、メンテナンスが少なく、効果が高く、業界をリードするものであることを保証することで、企業顧客は、高セキュリティ環境でモバイルデバイスを展開するために必要な信頼を得ることができます。

Trusted Boot

Trusted Bootは、Samsungの業界をリードするモバイルデバイスのブート保護機能を代表するKnox プラットフォームの機能です。Trusted Bootは、不正なブートローダや古いブートローダがモバイルデバイスを危険にさらす前に識別し、区別します。

承認されていないブートコンポーネントがロードされた場合、企業は、Trusted Boot が認可されたブートローダと認可されていないブートローダを分離した後、有効な現在のコンポーネントのみがロードされることを信頼することができます。

企業は、Trusted Bootが収集した測定データをAndroid用SEの施行設定とともに読み取るKnox Attestationによって、デバイスの健全性をオンデマンドでチェックすることができ、デバイスの健全性の評決の基礎となります。

改ざんに対する安全なロックダウン

ブートローダの測定値は、ブート時にセキュアな TrustZone メモリに記録されます。実行時に、セキュアな TrustZone で動作するアプリケーションは、これらの測定値を使用して、実行するかどうかなどのセキュリティ上重要な決定を行うことができます。

  • Knox キーストアから暗号キーを解放します。
  • Knox Workspace アプリコンテナを起動します。

未承認または古いバージョンのコンポーネントが検出されると、改ざん防止用のヒューズが設定されます。ヒューズが設定されると、デバイスの完全性が保証または検証されなくなるため、Knox Workspace内の重要な作業アプリやデータは永久に暗号化され、アクセスできなくなります。

デバイスユーザーは、デバイスを起動して個人的なアプリを起動することができます。この柔軟性は、電話や個人アプリなどのコンシューマー機能と、企業データを保護する必要性との間の絶妙なバランスを促進します。

セキュアブート上での構築

Trusted Boot を採用する前の Samsung デバイスでは、Secure Boot を使用して、未承認のブートローダやオペレーティング・システムが起動時にロードされるのを防いでいました。Secure Boot は、ハードウェアに常駐する root-of-trust の証明書チェーンを使用して、各ブートローダが次のブートローダの署名を暗号化して順番に検証することで実装されています。いずれのステップでも検証に失敗した場合、ブートプロセスは終了します。

Secure Boot は、不正なブートローダを防止するのに効果的ですが、異なる認可されたバイナリバージョンを区別することはできません。たとえば、Secure Boot は、既知の脆弱性を持つブートローダと、パッチを当てた後のバージョンを区別することができません。Trusted Boot はこの制限に対処するために導入されました。

デバイスヘルス認証

不正なエージェントが、デバイスの操作やデータアクセスを制御する強力なシステムファイルへのスーパーユーザアクセス権限を取得すると、モバイルデバイスが危険にさらされる可能性があります。このような制御の喪失は、デバイスユーザーがデバイスのファームウェア、ファイル、UI、およびアプリを完全に制御するためにデバイスをroot化した場合に可能になります。残念ながら、マルウェアはこの脆弱性を悪用して、パスワードの窃取、アイデンティティの乗っ取り、秘密情報へのアクセス、アプリのインストール、ファームウェアの変更などを行うことができます。

従業員が職場で root 化された Android デバイスを使用する可能性があるため、Bring Your Own Device プログラムを導入している企業は特にリスクにさらされています。リスクの範囲は、企業の機密資産が発見されずにさらされることから、他の企業リソースやインフラストラクチャに対するより広範で陰湿な攻撃まで多岐にわたります。企業は、デバイスのユーザーが職場でデバイスを使用することを許可する前に、デバイスが危険にさらされているかどうかを検出するためのフェールセーフな方法を持たなければなりません。

侵害されたデバイスの確実な検出

マルウェアは、デバイスの健全性チェックの結果を傍受したり、偽造したりして、漏洩したデバイスを安全であるかのように見せかける可能性があります。Knox プラットフォームは、ハードウェアに裏打ちされた信頼できる環境を活用して、危険なデバイスを確実に検出し、報告します。

 

Device Root Key(DRK)は各デバイスに固有のものであるため、暗号署名を介してデータをデバイスに結びつけることができます。Samsung Attestation Key (SAK) は、Samsung Knox デバイスの TrustZone Secure World から発信されたことを証明するために、Attestation データに署名します。

Knox Attestationは、Trusted Bootおよび定期的なカーネル測定と連携して、デプロイメント、ブートアップ、および操作中のデバイスの完全性を保証します。

Knoxの認証の仕組み

  1. デバイスチェックは、以下のいずれかの方法で開始されます。
    • EMM コンソールを使用する企業の IT 管理者
    • 定期的にチェックを実行するWebスクリプト
  2. チェックを開始したWebサーバーは、Samsungの認証サーバーにナンスを要求します。 ナンスは、各認証結果を一意に識別するために暗号通信で使用される任意の番号です。
  3. Webサーバーはデバイスにチェックを開始するように指示し、ナンスをチェック識別子として渡します。
  4. デバイス上のKnox認証エージェントは、ARM TrustZone内のSecure Worldパーティション内で動作し、ブロブ(バイナリ・ラージ・オブジェクト)を作成します。このブロブは、デバイスの現在の状態のスナップショットです。このブロブには、デバイスが root 化されたかどうか、デバイスに工場出荷時にインストールされていないブートローダやファームウェアファイルがあるかどうか、または公式のアップグレードの一部であるかどうかに関するデータが含まれています。
  5. SamsungのAttestationサーバーは、ブロブ上のデータ署名を検証して、信頼できるSamsungのソースからのものであることを確認し、ブロブデータを分析して、デバイスが侵害されているかどうかを示す評決を導き出します。
  6. デバイスチェックの本来の要求者は、例えば、迅速に行動を起こすことができます。
    • 判定結果をデバイスユーザーに報告します。
    • デバイスがエンタープライズ システムにアクセスできないようにします。
    • デバイス上のエンタープライズ アプリまたはアセットをアンインストールします。

SamsungのWebベースのAttestationサーバにアクセスしたくない高度に安全な操作やファイアウォール内の操作では、Attestation Validatorツールをローカル・サーバにインストールして、ブロブを解析し、ファイアウォール内でデバイスの評定を維持することができます。

Knox Attestationのユニークな利点

Knox Attestationは、以下のような重要な差別化要因を提供します。

  • Device Root Keyを介してデバイスごとに保証されたヘルス測定。
  • ヘルス状態の結果は、IMEIなどのデバイス識別子に簡単にマッピングされます。

市場の他のソリューションとは異なり、Knox Attestationを使用すると、IT管理者は、手動で苦労してIDをマッピングしなくても、どの認証結果がどのデバイスに関連しているかを判断することができます。競合他社のソリューションでは、結果は別々のデバイスに対して返されますが、IT管理者はデバイスを区別することができず、結果は実行可能なものではありません。Knox Attestationは、単一のデバイスIDを返し、IT管理者は問題を迅速に防止または抑制することができます。

Sensitive Data Protection (SDP)

モバイルデバイス上のData-At-Rest(DAR)の保護は、大きな関心事です。業界標準では、デバイス上のすべてのデータを暗号化することになっていますが、そのデータはデバイスが正常に起動した後に復号化されてアクセスされます。このアクセスプロセスは、一度デバイスを紛失したり盗まれたりすると、デバイスがロックされていても、デバイスが動作している限り、巧妙な攻撃がデバイスからデータを取り出すことができることを意味します。サムスンは、この特定の問題に対処するために、Sensitive Data Protection(SDP)を作成しました。

SDPは、DARのための国家情報保証パートナーシップ(NIAP)によって定義されたモバイルデバイス基礎保護プロファイル(MDFPP)要件を満たしており、SDPは米国政府と軍による使用が承認されています。

SDPの仕組み

Knox Platformは、Data-At-restに対して2つのレベルの保護を提供します。

  • 保護されたデータ – デフォルトでは、デバイスの電源がオフのときにすべてのデータが暗号化されます。デバイスの電源が入ると、データは復号化されます。保護されたデータの復号化キーはデバイスのハードウェアに関連付けられているため、保護されたデータは同じデバイス上でのみ復元可能です。
  • 機密データ – SDP は、セキュリティの追加レイヤーを提供します。保護されたデータとは異なり、機密データはデバイスが起動した後も暗号化されたままです。データが復号化されるのは、ユーザー認証によってデバイスがロック解除された後です。SDP データは、ロックされた状態では復号化できず、ロックが解除された状態でのみ復号化されます。SDPデータの復号化キーはデバイスのハードウェアにも関連付けられているため、センシティブデータは同じデバイス上で、ユーザー認証が成功した後でなければ復元できません。

SDPは、アプリ開発者と企業のIT管理者の両方が、データを「センシティブ」とラベル付けし、データが暗号化され、ロックされたデバイス上ではアクセスできないことを保証します。SDPは、電子メールや通知などの受信したセンシティブなデータも処理し、即座に暗号化され、ユーザーが認証されるまでアクセスできないようにします。この暗号化には公開鍵アルゴリズムが使用されます。秘密鍵は暗号化されたパーティションに保持され、公開部分は機密性の高い、新しく受信したデータを暗号化します。

SamsungのデバイスにプリインストールされているネイティブのSamsung電子メールアプリは、自動的にSDPを使用して電子メールの本文と添付ファイルを保護します。パフォーマンス上の理由から、件名と送信者を含む電子メールヘッダーは暗号化されません。

Knox SDPのユニークな利点

  • MDFPP-Compliant – Knox SDPはMDFPP準拠として認定されています。Knox SDPがないと、ベースとなるAndroidシステムはMDFPP要件を満たしていないと認定されるため、SDPの形式が義務付けられています。MDFPP準拠は、多くの政府機関や協力企業の要件となっています。Samsungは、他のどのモビリティソリューションプロバイダよりも多くのMDFPP認定製品を持っています。
  • Granular Control – アプリ開発者は、Knox SDPを使用して、個々のファイル、データベース、およびその他の機密性の高い企業データを保護することができます。
  • Per-App Password – アプリ開発者は、アプリユーザーが入力したアプリごとのパスワードのみで機密データを復号化できるように、Knox SDPをカスタマイズすることができます。この場合、デバイスのロック解除またはKnox Workspace認証だけでは、アプリデータは復号化されません。また、セキュリティの追加レイヤーのためにアプリパスワードが必要になります。
  • Samsung Email Protection – Knox SDP はデフォルトで有効になっており、Samsung Email アプリのメール本文と添付ファイルを保護します。

App Container

デバイスユーザーは通常、個人データと仕事のデータを1つのデバイスで管理したいと考えています。この要件は、企業にとって課題となっています。

  • 作業データは完全に保護されている。そして
  • 誤ってユーザーの個人情報に干渉しても、責任問題にはならない。

Knox Workspaceは、1つのデバイス上で個人データと仕事のデータを安全に分離するソリューションを企業に提供するアプリコンテナです。クラス最高のハードウェア・セキュリティで保護されたKnox Workspaceは、IT管理者にきめ細かな管理ポリシーを提供します。Knox Workspaceは、競合他社のコンテナソリューションが提供する標準的なデータ隔離をはるかに超えています。

 

ハードウェアによるセキュリティ

Knox Workspace は、Knox プラットフォームのセキュリティ機能の多くから恩恵を受けています。例えば、以下のようなものがあります。

  • 不正なブートローダーや不正な変更によってデバイスが侵害された場合、デバイスのユーザは Knox ワークスペースを作成したり使用したりすることはできません。
  • デバイスの Knox Workspace データは、次のいずれかの方法で他のモバイルプラットフォームを危険にさらす可能性のあるこれらのタイプのカーネル悪用から保護されています。
    • カーネルデータのマッピングを悪用したパーソナルスペース内の悪意のあるプロセス。
    • 個人空間で実行されているプロセスの特権がエスカレートして、ワークスペース内のデータにアクセスできるようになります。

粒度管理方針

Knox Workspaceは、IT管理者にきめ細かい管理ポリシーを提供し、同じデバイス上で個人データと作業データを維持するという課題に対処します。

データ転送

仕事のデータと個人のデータが分離された状態では、デバイスユーザーは2つの別々のスペースにアクセスすることになります。特定の状況で生産性を高めるために、あるスペースから別のスペースにデータを共有することが必要になることがよくあります。例えば、パーソナルスペースで電話アプリを使用しているときに、安全なワークスペースに保存されている仕事の連絡先に電話をかける必要があるかもしれません。Knox Workspaceを使用すると、IT管理者はKnox Workspaceとの間のデータのインポートとエクスポートを管理するための詳細な管理ポリシーを持つことができます。このデータには、アプリ、ファイル、クリップボードデータ、通話ログ、連絡先、カレンダーイベント、ブックマーク、通知、ショートカット、SMSなどが含まれます。

コンテナ専用制御

責任と生産性の観点から、IT管理者は個人データと仕事データの両方を持つモバイルデバイスに効果的なポリシーを適用することはできません。Knox Workspaceでは、IT管理者はコンテナのみに重要な機能を設定して制御することができます。IT 管理者は、コンテナ専用に以下の機能を有効または無効にすることができます。

  • ブルートゥース
  • NFC
  • USBアクセス
  • 外部ストレージ
コンテナの構成

作業データと個人データが分離されているため、デバイスユーザーは2つの別々の空間にアクセスすることになります。この二重アクセスは、作業データを迅速に特定してアクセスするためにいくつかの課題を提示しています。

使いやすさを向上させるために、Knox Workspaceでは、IT管理者が自分のパーソナルスペースに仕事のショートカットを追加して、仕事のデータに素早くアクセスできるようにします。また、Knox WorkspaceはIT管理者に、アプリのアイコンに作業バッジなどのカスタムリソースを設定する機能を提供し、ユーザーが自社の作業アプリを素早く識別できるようにします。

パスワードポリシー

企業のIT管理者は、コンテナ内の作業データにアクセスできるのは、許可された人だけであることを確認しなければなりません。Knox Workspaceは、すべての企業のニーズを満たす高度な認証メカニズムをサポートしています。

IT管理者が強制して設定することができます。

  • 複雑なパスワードまたはコードスキーム
  • 二要素認証
  • アクティブディレクトリ認証

さらに、IT 管理者はコンテナをロックしてアクセスを制限することができます。この制限は、デバイスがコンプライアンスから外れていたり、紛失したり、盗まれたりした場合に必要です。

ネットワークセキュリティ

Virtual Private Networks (VPN)

標準的なAndroidには、ほとんどの消費者には十分な基本的なVPN機能が搭載されています。しかし、多くの企業では、より優れたセキュリティと、大規模な導入のためのより柔軟なVPN制御を必要としています。Knox VPNフレームワークには、企業向けに特化した最先端の機能セットが含まれており、VPN接続が効率的で、信頼性が高く、安全で、業界の規制やベストプラクティスに準拠していることを保証します。Knox Platform VPNフレームワークでは、内蔵のVPNクライアントに加えて、サードパーティ製のVPNクライアントを統合することができます。

Knox VPNフレームワークのユニークな利点

Knox Platform VPNフレームワークは、すべての一般的なVPNタイプ、プロトコル、および構成オプションをサポートしています。VPN ソリューションを導入する際には、企業の IT 管理者は、VPN 導入がスムーズに動作すること、サーバー リソースを無駄にしないこと、VPN ソリューションのライセンス費用を制限すること、およびデータ漏洩を防ぐ厳格なセキュリティ ポリシーを実施することを確認しなければなりません。

以下は、KnoxオンデマンドVPNがどのようにコストを節約しているかを示す例です。

Knox Platformは、以下のような差別化されたVPN機能と利点を提供します。

  • デバイス全体、Knox Workspace のみ、または単一のアプリのみに VPN トンネルを使用できる柔軟性。
  • 別々の VPN クライアントやライセンスを必要とせずに、Knox Workspace の内部と外部の両方のトラフィックに単一の VPN トンネルを使用できる独自の機能。
  • VPN プロファイル内のアプリが実行されている場合にのみ、オンデマンドで VPN トンネルを使用できるため、コスト削減のメリットがあります。
  • デバイスがローカル企業ネットワーク内のオンプレミスにある場合に VPN トンネルをバイパスできる利便性。
  • デバイス起動時にもVPNトンネル外へのデータ漏洩を防ぐためのコーナーケースを厳密にカバー。
  • 複数のトンネルを同時に接続する機能。
  • VPN をチェーン接続することによるセキュリティの強化(カスケード VPN やネスティング VPN としても知られています)により、例えば機密性の高い環境での匿名性を高めることができます。
  • VPN 上でウェブプロキシを設定することの威力。
    • ウェブプロキシの設定はトンネル固有のものです。
    • Web プロキシは NTLM 認証、基本認証、PAC、認証付き PAC をサポートしています。

以下のKnox VPN機能も利用できますが、VPNクライアントに依存します。

  • QoS またはトラフィックのトラッキングとシェーピング。Knox VPN フレームワークは、インストールされているアプリがトラフィックを生成すると、VPN クライアントに通知します。
  • サーバー側で切断された場合の VPN トンネルの自動再接続。サーバー側の切断は、デバイス側の切断よりも検出や処理が難しく、通常、接続性の喪失や新しい Wi-Fi 接続などの新しいネットワーク接続の存在など、検出可能な状態に関連しています。

企業の要求事項をしっかりと処理する

選択した機能にかかわらず、VPN は予期せぬ事態が発生した場合でも予測可能な動作をする必要があります。以下は、Knox Platform の機能強化によって VPN が適切に動作するための一般的なシナリオです。

  • ダウンロード中、VPN トンネルは、ダウンロードを要求したアプリに関連付けられた VPN トンネルにダウンロードマネージャのトラフィックを直接誘導します。
  • VPNトンネルは、省電力モードの入力や終了、パッケージの追加や削除、接続性の変更、管理アプリの変更などのシステムイベントを処理します。
  • VPNプロファイルは、インストールされている場合、存在しないアプリもVPNトンネルを使用しなければならないものを指定することができます。
  • 無料の内蔵 VPN クライアントでさえ、前のリスト項目に挙げたすべての高度な VPN 機能をサポートしています。
  • 堅牢なブロッキングルールにより、データがトンネルの外部に漏れることを防ぎます。Knox Platform VPN が正しく処理するカバー範囲の一般的なギャップには、次のようなものがあります。
    • VPNクライアントのクラッシュや他のクライアントアプリの問題
    • 起動時など、まだ確立されていないトンネル
    • VPNサーバーに接続できないVPNクライアント
    • ブロックしているプロキシポート
  • VPNトンネル確立前のキャプティブポータルを処理します。

安全性の高い組み込み型VPNクライアント

内蔵のAndroid VPNクライアント(StrongSwanとも呼ばれる)は、すべてのSamsungデバイスで利用可能で、Knox Platform VPNフレームワークと統合されており、Knoxプラットフォーム内で利用可能な余分なプロパティを有効にしています。内蔵のVPNクライアントは、Knox VPNフレームワークがなくても、Androidが提供するものとは異なり、これらの高度なVPN機能を提供します。

  • FIPS 140-2 認定デバイス暗号化コンポーネント
  • IPsec VPN クライアント v1.4 の保護プロファイルに対する共通基準の評価に基づき、ファウンデーショングレードの CPA 認証を取得しました。
  • NCSCによって設定されたIPSec VPNクライアントバージョン2.5のセキュリティ特性
  • Internet Key Exchange(IKEとIKEv2)とSuite-Bアルゴリズム。
    • IPsec IETF RFCs – IKEv1
    • IKEv1 – 事前共有鍵、証明書、ハイブリッド RSA、および EAP-MD5 認証を備えたメインおよびアグレッシブな IKE 交換モード
    • PSK と証明書ベースの認証を備えた IKEv2
    • IKEv2 – 事前共有鍵、証明書、EAP-MD5 EAP-MSCHAPv2 認証方式、モバイル拡張機能
    • トリプルDES(56/168ビット)、AES(128/256ビット)、MD5またはSHA付き
    • IKEv1 スイート B 暗号方式は、PSK および ECDS 署名ベースの認証でサポートされています。
    • ECDSA署名でサポートされているIKEv2スイートB暗号

Network Platform Analytics (NPA)

モバイルデバイスなどのエンドポイントデバイスは、セキュリティ上の問題を監視することが難しいです。デスクトップ・プラットフォームでは可能なことですが、サードパーティのアプリはOSの動作やネットワーク・パターンを検査することができません。これらの制限と、エンドポイント暗号化の普及により、情報の「ブラックホール」が発生します。この情報のブラックホールによって、設定ミス、問題のあるネットワーク使用パターン、企業のリソースの不正使用、または企業の収益に影響を与えるその他の問題の兆候を検出することがより困難になります。

 

NPAフレームワークを使用することで、モバイル・ソフトウェアやネットワークの使用状況、誤設定、ネットワークベースの脅威についての洞察が可能になります。強力な分析ソリューションは、NPA フレームワークを使用して、企業のデバイスやネットワーク上を移動するデータの機密性を侵害することなく、エンドポイントの可視性を高めることができます。

互換性のあるアナリティクスソリューションと組み合わせることで、NPAは多くのデバイス管理タスクを簡素化します。

  • より多くのIT問題を検出 – “見えないものはわからない!”
  • 問題の早期発見 – “疑わしいパターンを自動的に通知してくれる”
  • 調査をより簡単に – “イベントの連鎖を私に教えてくれます。”
  • 根本原因の帰属を参照- “私は攻撃されているのか?これはバグなのか?何か設定が間違っているのか?”
  • モバイルデバイスを信頼するために必要な可視性の提供- “私のネットワークがどのように使用されているかを見せてください”
  • 迅速な修復を可能にする – “この問題の原因となっているデバイス、ユーザー、またはアプリをロックダウンしてください!”

NPA設計

NPAフレームワークは、デバイスから出るネットワーク・パケットとデータの流れを取り巻くコンテキストに関するリアルタイムの情報を提供します。その後、NPA対応のNetwork Analyzerが利用可能なデータを分析して、価値ある洞察を提供します。新しいベータ・アプリが、外国の予期せぬサーバーに機密データを送信していませんか?エンドポイント・フロー・データを分析することで、以下のようなネットワーク・トラフィックの洞察を得ることができます。

  • IPv4またはIPv6アドレスを使用した、すべてのネットワークフローの宛先
  • 宛先IPアドレスに関連付けられたドメイン名のオリジネーター
  • ネットワークフローの開始時間と停止時間
  • ネットワークセッション中に転送されたバイト数
  • データフローを開始するプロセスまたはアプリの名前
  • データフローを開始するアプリとその親プロセスの暗号署名
  • トラフィックがテザリングされたデバイス(モバイルホットスポットなど)から発信されたものか、デバイス内から発信されたものかどうか

NPAは、ヘッダ・データとネットワーク・トラフィック・パターンを取り巻くコンテキストのみを検査するため、企業データの機密性を維持します。NPAとNPA互換のネットワーク・アナライザは、実際のデータ・パケットにはアクセスできません。この機能は、通常はウェブ・プロキシやVPNを使用して、すべてのエンドポイント・ネットワーク・トラフィックを不必要に収集してリダイレクトするソリューションと比較して、強力な差別化要因となっています。

Knox NPAのユニークな利点

KnoxプラットフォームNPAは、粒度の高いエンドポイント・ネットワーキングの洞察を提供する唯一のモバイル・プラットフォームです。いくつかのユニークな利点があります。

  • NPA はエンドポイントのネットワーク暗号化の影響を受けません。
  • NPA は、ネットワーク・パターンを特定のソフトウェアに一意に帰属させることができます。
  • NPA は、有名な Android アプリから発信されたトラフィックと、アプリを装った偽アプリを区別することができます。
  • NPAはアナリティクスソリューションにネットワークトラフィック全体を晒すことはありません。

NPA対応ソリューション

SamsungのNPAのリリースパートナーはCiscoです。Ciscoのネットワークセキュリティ製品は、Knox NPAとインターフェイスして、Knoxデバイスのエンドポイントの可視性を提供できるようになりました。管理者は、VPNがエンドポイントトラフィックを暗号化している場合でも、この可視性を得ることができます。これらの洞察は、Cisco StealthWatch コンソールを使用して管理者に公開され、Cisco ICE を使用して修復ステップが実行されます。

他のKnoxのパートナーは、モバイルデバイスの導入に関連するその他の一般的な問題を解決するために、NPAベースのソリューションを準備しています。

証明書管理

Universal Credential Management (UCM)

デジタル認証情報は、信頼できる当局を活用して ID を検証し、パブリックな展開でプライベート・チャネルを保護するための重要なモバイル・セキュリティのビルディング・ブロックです。モバイル・デバイスのクレデンシャルは、安全な Wi-Fi、VPN、電子メール、およびウェブサイトへのシームレスなアクセスを提供します。クレデンシャルには、機密データを復号化するためのアイデンティティと秘密鍵を提供する証明書が含まれています。これらのクレデンシャルは、悪意のある当事者があなたのアイデンティティを悪用して機密データにアクセスすることを防ぐために、安全に保存されている必要があります。

利用可能なストレージは、新しい技術の導入や新たなセキュリティ基準の出現によって進化する可能性があります。例えば、規制された業界で使用されるモバイルデバイスは、物理的なスマートカードから個人の認証情報を取得する必要があるかもしれません。将来的には、物理的なスマートカードからNFCチップ上の仮想的なものに切り替える必要があるかもしれません。この変更プロセスは、各ストレージ・プロバイダが独自の API を持っているため、新しいストレージ・ハードウェアへの 追加または切り替えは、新しいコーディング・サイクル、テスト、およびアプリの再配布を導入するため、クレデンシャルを消費するアプリ開発者に断片化の問題を 提示します。

UCMフレームワーク

Knoxプラットフォームのユニバーサル・クレデンシャル管理(UCM)は、さまざまなストレージ・メディアにまたがるクレデンシャル管理のためのプラグアンドプレイ・フレームワークを提供します。UCMフレームワークの大きな利点は、ストレージベンダーが標準のAndroidアプリとして配布されるプラグインを独自に開発できることで、アプリ開発者がコードを変更したり、IT管理者やエンドユーザがアプリを更新したりすることなく、ストレージスペースや暗号化処理へのアクセスを提供できることです。このプラグインは、基本的にUCMフレームワークと特定のストレージデバイス間のリンクとして機能します。

 

UCM フレームワークは、クレデンシャルサービスを統合して標準化し、以下のための合理化されたインターフェイスを提供します。

  • EMM または ISV アプリ – これらのアプリは、クレデンシャルを構成、プロビジョニング、および消費し、クレデンシャル・ストレージのアクセ ス権限を管理し、高度な UCM 権限を有効化します。アプリは、クレデンシャルのインストール、削除、またはアプリごとのアクセス制御を強制することができます。
  • ストレージプロバイダープラグイン – これらのアプリは、ストレージベンダーによって提供され、ストレージソリューションにUCMフレームワークをリンクさせ、保存されたクレデンシャルを管理するためのものです。
  • セキュアストレージ – この機能には、現在、「セキュアストレージのオプション」(29 ページ)で説明した Samsung eSE およびスマートカードリーダが含まれています。追加のベンダープラグインを使用して、他のストレージオプションを簡単にサポー トすることができます。

Knox SDKは、クレデンシャル・ストレージ・ベンダーにUCM APIのセットを提供し、現在および将来のストレージ・オプションをSamsungデバイスで利用できるようにし、ソリューションの実装詳細を隠して、モバイル・アプリの開発者がAndroid Keychainなどの標準APIを介して保存されたクレデンシャルに透過的にアクセスできるようにします。同様に、開発者はJava Cryptography Extension APIを使用して、暗号化処理を機能のあるスマートカードにオフロードすることができます。UCMフレームワークによって可能になったこの抽象化によって、モバイルアプリ内の複雑なベンダー固有のコードが不要になり、企業顧客は既存のアプリを幅広く利用できるようになり、基礎となるストレージの実装を気にすることなく、簡単に社内アプリを開発できるようになります。

安全なストレージオプション

UCM フレームワークは、以下のセキュアなストレージオプションをサポートしています。

  • Samsung Embedded Secure Element (eSE) – eSEはクレデンシャルの保存とアクセスをサポートし、ハードウェアを追加することなくデバイスに安全に保存することができます。
    注 – eSE は、次の国およびキャリアではご利用いただけません。米国-Verizon、韓国-All、日本-All、カナダ-Telus。
  • スマートカード – スマートカードの復元力は、脅威モデルが信頼をデバイスの外部に移すことを要求している場合に、クレデンシャルを保存するのに理想的です。スマートカードは、次のようなロック解除アクションに使用できます。
    • Knox PlatformのOn Device Encryption (ODE) – デバイスに挿入されたスマートカードのPINロック解除に暗号的に依存するようにODEを構成することができ、内部データパーティションの復号キーを管理します。
    • デバイスロックスクリーン – デバイスロック解除パスコードをスマートカードに保存できます。

UCM ホワイトリスト

UCM フレームワークでは、2 種類のホワイトリストを使用して、クレデンシャル・ストレージのアクセス制御を独自に管理し、完全にカスタマイズ可能なアクセス許可を提供します。

  • アプリのホワイトリスト – どのアプリが各セキュアストレージタイプにアクセスできるかを強制します。すべてのセキュアストレージデバイスは、セキュアストレージソリューションプロバイダが作成および保守するそれぞれの UCM プラグインにマップされます。
  • クレデンシャルホワイトリスト – 各アプリのクレデンシャルへのアクセスを強制し、アプリ固有のアクセス許可を提供します。アクセス制御を強制することで、管理者は、悪意のあるアプリや信頼されていないアプリによるクレデンシャルの使用を防ぐことができます。

Client Certificate Manager (CCM)

Samsungは、暗号鍵と証明書の改ざん防止、検出ベースのロックダウンを提供することで、Android Keystoreをベースに構築しています。このソリューションは、次のセクションで説明するように、企業にとって重要なさまざまな高セキュリティのユースケースをサポートします。

証明書と鍵のアクセス制御

Knox Platformは、証明書のアプリのホワイトリストをサポートしており、証明書インストーラは、証明書に基づいてどのアプリが暗号化処理の実行を許可されているかを定義することができます。この証明書ホワイトリストプロセスは、単に証明書へのアプリのみまたはデバイス全体のアクセス権を許可するよりも、より優れた制御と柔軟性を提供します。

デバイス固有の証明書による署名

Device Default Certificate(DDC)と呼ばれる特別な証明書が各デバイス内に存在します。この証明書が特別なのは、そのデバイスのハードウェアに関連付けられており、デバイスルートキー(DRK)によって署名されており、デバイスから離れることができないからです。

同じDDCによって署名されたオブジェクトはすべて、同じSamsungデバイスからのものであることが保証されています。別のデバイスで DDC とそのキーペアを再利用することで、デバイスの身元を詐称する方法はありません。

デバイスの完全性保証

この証明書で署名されたオブジェクトは、デバイスが健全な状態にあるとき、つまりデバイスが妥協されていないときに署名されました。カーネルや OS の署名チェックに失敗したり、Android の SE を無効にしたりして、デバイスが完全性チェックに失敗すると、次のようなことが起こります。

  • タンパーヒューズがセットされます。
  • DDCは永久に使用できなくなります。

このロックダウンは、データが署名されたデバイスの健全性を証明するのに役立ちます。結局のところ、署名を行っているデバイスが危険にさらされている場合、署名を信頼することはできません。Knox Platformは、このデバイスの健全性を証明するためのCSRエージェントを提供します。CSRエージェントによって作成され署名されたCSRには、暗黙のデバイスの健全性に関するセキュリティ・クレームが含まれています。

キーストアと他の機能との統合

キーストアは、サポートするユースケースに応じてのみ有用です。Knox Platformは、署名、検証、暗号化、および復号化などの手動の暗号化アクションに加えて、以下のような企業がソリューションのセキュリティを確保するために必要となる、機密性の高い証明書ベースのアクションをサポートするための組み込みロジックを提供しています。

  • Certificate Signing Requests (CSR) – Knox プラットフォームのハードウェアベースの Root of Trust と連携した信頼できるエージェントを使用して CSR を完了する機能により、デジタル ID 証明書のモバイル・エンドポイント要求の安全な処理が簡素化されます。サーバからキー・ペアと証明書を送信する代わりに、キーをデバイス上で安全に生成し、ハードウェアにバインドすることができます。公開証明書は、その後、適切な CSR リクエストに含まれます。CSR エージェントを使用して CSR の内容を検証し、要求に署名することで、デバイスの信頼性の低い領域で実行されているサードパーティのコードに機密性の高いアクションを信頼することを回避できます。
  • Certificate Enrollment Protocols (CEPs) – CSR と同様に、CEP は、企業が信頼するロジックのための組み込みエージェントを提供し、時間を節約してセキュリティ主張を強化します。詳細については、Certificate Enrollment Protocols を参照してください。

DDC に加えて、独自の証明書と鍵ペアを生成またはインストールし、デバイスが健全な状態にある場合にのみアクセスできるように指定することができます。この追加プロセスは、デバイスの完全性に障害が発生した場合にキーストアをロックダウンします。

Certificate Enrollment Protocols (CEP)

Certificate Enrollment Protocols(CEP)は、Samsungデバイス内のアプリ用のデジタル証明書を提供し、サポートします。この機能は、EMMやサードパーティベンダーにとって大きな助けとなります。なぜでしょうか?CEPは、デバイス・ユーザーの介入なしに証明書の登録を完了させることができるため、Samsung Knoxデバイスがワールドクラスのセキュリティと業界をリードする管理性の両方を提供しているという主張をさらに確固たるものにしています。

企業は、CEP を使用して以下を行うことができます。

  • 証明書の登録、更新、または削除
  • 配置の証明書の登録または更新状況を確認する

CEP サービスは非常に堅牢で、以下の登録プロトコルと標準をサポートしています。

  • 簡易証明書登録プロトコル(SCEP)
  • 証明書管理プロトコル(CMP)
  • 暗号メッセージ構文上の証明書管理、セキュアトランスポート上のエンロールメント (CMC-EST)

SCEP、CMP、および CMC は、デジタル証明書をプロビジョニングするために頻繁に使用される証明書登録プロトコルです。これらのプロトコルの詳細については、Internet Engineering Task Force (IETF) を参照してください。

CEP非対称キー取得

アプリはCEPを使用して非対称鍵の公開部分を取得します。非対称鍵には公開部分と非公開部分があります。秘密部分はキーストアから出ることはありませんが、公開部分は自由に配布されます。鍵の所有者はキーストアを利用して、暗号化されたメッセージに非対称鍵のプライベート部分を適用して復号化することができます。

CEP動作環境

CEP は、インストールされている場所に応じて、Knox Workspaceまたはパーソナル スペースのいずれかの範囲内で機能します。デプロイの目的が、Knox Workspace内のアプリのみに証明書をプロビジョニングして管理することである場合、以下のように、Knox Workspace内に CEP サービスをインストールする必要があります。

 

パーソナルスペースでのアプリの証明書のプロビジョニングと管理が目的であれば、パーソナルスペースにCEPサービスをインストールして証明書のプロビジョニングと管理を行うことができます。

EMM エージェントは、パーソナル スペースまたは Knox Workspace のいずれかで CEP サービスを呼び出すことができます。EMMエージェントは、自分の範囲外で作成されたサービスにアクセスすることができません。

デバイス管理

デバイスソフトウェア更新管理

バグの解決、セキュリティの脆弱性へのパッチ適用、デバイスの機能強化のために、頻繁なソフトウェアアップデートが必要になることがよくあります。しかし、IT管理者は、大量に展開する前にソフトウェアの変更を理解し、検証しなければなりません。サムスンは、モバイル業界初のファームウェアアップデート管理システムをAndroid上でリリースし、IT部門がソフトウェアアップデートのテストと検証を行い、ロールアウトの範囲とタイミングをコントロールできるようにしました。

なぜデバイスのソフトウェアアップデートを管理するのか?

プラットフォームとファームウェアのバージョンが細分化されている企業では、モバイルデバイスの展開とサポートは、時間のかかる面倒な作業になります。専用のエンタープライズ・アプリや Web サイトは、異なるファームウェア・バージョンで矛盾した動作をするため、機能には、さまざまなデバイス・プラットフォームでのテストとトラブルシューティングが必要になります。

 

ソフトウェアアップデートのロールアウトを制御することで、IT 管理者は以下のことが可能になります。

  • 配備されたデバイスモデルのファームウェアのバージョンと機能を均質化する。
  • 社内または独自のサーバー、アプリ、エンドポイント設定との相互運用性や互換性のテストを実施する。
  • メジャーなファームウェアのバージョンアップデートを展開する前に、既知の問題がパッチされていることを確認する。
  • 大量に展開する前に、新しいファームウェアとソフトウェアのフィールドテストをデバイスのサブセットで実施する。
  • 業界の認証または規制の要件を満たすために検証されたファームウェアのバージョンを強制的に使用する。

デバイスのファームウェアアップデートを厳密に管理

Samsungは、企業が時間とサポートコストを節約し、モバイルインフラを可能な限り効率的に管理できるようにするために、Enterprise Firmware Over-the-Air(E-FOTA)を開発しました。

E-FOTAを使用すると、企業はデバイスのソフトウェアアップデートを次のように制御することができます。

  • デバイスで許可されている最も高いファームウェアバージョンを選択 – このオプションは、デバイスユーザーがサポートされていないファームウェアバージョンにアップデートすることができないようにするため、従業員の生産性、サポートコスト、データセキュリティに悪影響を及ぼす可能性のある問題を防止します。
  • 特定のファームウェアバージョンを選択したデバイスに強制的にダウンロードさせる – 企業は、相互運用性テストや互換性テストを実行するために、いくつかのテストデバイスに新しいファームウェアをダウンロードすることができます。この強制的なダウンロードは、運用上またはパフォーマンス上の問題を引き起こす可能性のあるコーナーケースを見つけるために、プロプライエタリなシステムやアプリを使用して行われます。
  • 新しいファームウェアバージョンの大量展開 – 大量展開は、ソフトウェアバージョンの断片化を防ぐので、IT チームは、展開されたデバイスモデルごとに複数のレガシーファームウェアバージョンをサポートする必要がありません。
  • ピーク時以外の作業時間帯にアップデートをスケジュールする – このオプションにより、アップデートが従業員の生産性を妨げることはありません。

ユーザーの更新に対するKnoxの制御

幅広いEMMパートナーがSamsungのファームウェア管理機能をサポートし、ファームウェア管理を他の資産管理活動に統合します。IT管理者は、これらのツールを使用して、一貫性のある低リスクの方法でソフトウェアアップデートをテストして展開することができます。EMMソリューションを通じて、企業は、デバイスやUSB接続されたコンピュータを介して、ユーザーが不正なファームウェアをロードすることを制限することができます。

 

Knoxプラットフォームを通じて、企業は以下のことが可能です。

  • ファームウェアのロールバックを防止 – このオプションは、有効だが古いバージョンのファームウェアが悪意を持って、または誤って企業のデバイスにインストールされるのを防ぎます。サムスンのKnoxデバイスでは、ロールバック防止ヒューズは、サムスンが承認したソフトウェアの最小許容バージョンをエンコードします。特定のアップデートでは、次のヒューズのセットが焼かれ、新しいアップデートが現在ブートを許可されている最小バージョンであることを示します。この基本的な組み込みのセキュリティ機能を無効にすることはできません。
  • 自動ファームウェアアップデートを無効にする – IT管理者は、ユーザーがAndroidの設定にアクセスして自動ファームウェアアップデートを有効または無効にすることを防ぐことができます。
  • すべてのOTAアップデートを無効にする – IT管理者は、ユーザーがAndroidの設定にアクセスして、一般的なソフトウェアアップデートを有効にしたり無効にしたりできないようにすることができます。この制限には、ファームウェア、セキュリティパッチ、バグ修正、アプリのアップデートが含まれます。
  • USB接続のアップデートを無効にする – IT管理者は、ユーザーがダウンロードモードに起動して手動でソフトウェアアップデートをインストールできないようにすることができます。この制限には、Odin、Kies、およびSmart Switchのアップデートツールを介したアップデートが含まれます。

Granular Device Management

Knox Platformの粒度の高いデバイス管理機能は、パートナーからのフィードバックや業界データをもとに、企業がデバイスを大量導入する際に直面する最も一般的なフラストレーションのいくつかを解決するために特別に調整されています。これらの独自のポリシーは、他のどのデバイスプロバイダよりもデバイスの柔軟性とカスタマイズ性を提供します。このポリシーは、組織がより効果的に運用を管理し、機密資産を保護し、管理上のオーバーヘッドを削減するのに役立ちます。また、業界の規制やコンプライアンスに関する特定の問題も解決します。たとえば、金融業界では、リッチ・コミュニケーション・サービス(RCS)のロギングが法律で義務付けられています。Samsungは、この重要な監査機能を提供する唯一のベンダーです。

カスタムブートバナー

Samsung Knoxは、企業がデバイスのブートロゴをネイティブに変更できる唯一のモバイルプラットフォームです。政府や防衛など多くの業界では、コンプライアンスのためにこの変更が必須となっています。Knoxプラットフォームを通じて、企業のIT管理者や開発者は以下のようにカスタマイズすることができます。

  • Samsungは、ディスプレイを起動します。
  • デバイスがオンまたはオフになったときのスプラッシュ画面のアニメーション
  • 失われた電話に企業のロゴや連絡先を提供することができるロックスクリーンのイメージ

企業はこれらの機能を使用して、次のような問題を軽減することができます。

  • 電話が紛失して見つかった場合 – デバイスの電源を入れるだけで所有者情報を入手できます。デバイスのロックを解除したり、キャリアに電話したりする必要はありません。デバイスを迅速に企業に返却することができます。
  • 複数の電話 – 起動時に企業ロゴを表示することで、ユーザーはデバイスが企業のものであり、企業によって保護されていることを知ることができます。このロゴは、ユーザーが所有している他のデバイスと明確に区別できます。

分割課金(デュアルAPN )

分割課金は、企業データと個人データの使用を分離します。

  • Bring Your Own Device (BYOD) の導入では、エンタープライズ課金により、従業員は業務に関連するアプリの使用から発生したデータコストを適切に補償されます。
  • Corporate Owned, Personally Enabled (COPE) の導入では、エンタープライズ課金により、雇用主は業務目的でのみ発生したデータ使用に対して支払いを行うことができます。

分割課金は、一部のアプリを一方のSIMのデータプランを使用するようにマッピングし、他方のアプリをもう一方のSIMのデータプランにマッピングすることで、デュアルSIMデバイスでも動作します。

デバイスのリモート管理者ロック

この機能を使用すると、IT 管理者がリモートでデバイスをロックアウトすることができます。デバイスがロックされると、IT 管理者だけがロックを解除することができ、デバイスのユーザーはロックを解除できません。この機能により、2つの問題が解決されます。

  • デバイスを紛失したり盗まれたりした場合に、不正なユーザーがデバイスにアクセスできないようにします。
  • 有効なログイン認証情報を持つユーザーがデバイスを使用できないようにします。例えば、認証情報が盗まれた場合や、ユーザーがデバイスを使用できなくなった場合などです。

標準のAndroidでは、IT管理者は現在ロックが解除されている場合にのみデバイスをロックすることができます。デバイスがすでにロックされている場合、管理者は将来の不正ログインを防ぐためにデバイスをロックすることはできません。

エンタープライズローミング

ローミングモバイル接続では、予期せぬデータコストが発生する可能性があります。企業のモバイルワーカーの数が増えると、これらのコストは法外なものになる可能性があります。

Knoxプラットフォームは、単にすべてのモバイルローミングを無効にするのではなく、より詳細な制御を企業に提供し、モバイルローミング中にデータの使用を許可するミッションクリティカルなアプリケーションを制御します。企業は、ローミングデータを有効にすることができます。

  • Knox Workspaceのすべてのアプリ
  • Knox Workspace内の単一アプリ
  • パーソナルスペースに1つのアプリ

また、個人向けと企業向けに設定された APN のローミングポリシーを別々に設定して、分割課金を設定することもできます。

粒度の高い政策

通話制限

企業は、発呼側アプリに粒度の高い設定を適用して、発呼側アプリのみを許可することができます。

  • 緊急時の通話
  • 特定の番号への呼び出し
  • 1日の通話回数に制限
RCSロギング

Knox Platformは、企業がRCSメッセージをログに記録することを可能にします。金融サービスなど多くの業界では、送受信されたメッセージを監査する機能が法律で義務付けられています。

RCS メッセージングは、キャリアのデフォルトメッセージングプラットフォームとして SMS に代わる新しいメッセージングプロトコルです。グループメッセージなどの必要とされる機能が追加され、ユーザーはより多くのファイルタイプを送信することができます。現在、RCSメッセージをキャプチャできない企業は、RCSをオフにする必要があり、この新しいプロトコルの利点を失うことになります。KnoxのRCSロギング機能は、コンプライアンスを維持しながら強力なRCS機能を使用できることを意味します。

SMS管理

Knoxは多くの高度なSMSポリシーを提供しています。組織でよく使用されるポリシーには、以下のようなものがあります。

  • すべての送信テキストの下部に自動で会社の免責事項を追加する
  • 1日のメール数を制限する
  • 着信および発信するすべてのSMSメッセージを監査し、記録します。
SDカードの制限

ほとんどのベンダーは、SDカードを管理するための高度なオプションを提供していません。一般的に、企業はSDカードへの読み書きアクセスを完全に許可するか、SDカードを完全にブロックするかの2つのオプションのいずれかを選択する必要があります。

Knox Platformは、企業が読み書きアクセスを独立して制御できるようにすることで、この業界の課題に対処します。Knoxには以下のようなことが可能です。

  • 読み取りアクセスは許可しますが、書き込みアクセスはブロックします
  • 書き込みアクセスは許可しますが、読み取りアクセスはブロックします

このレベルの制御は、機密データへの一方通行のデータアクセスを提供し、セキュリティ要件を効果的に満たすことができることを意味します。

ブルートゥースの制限

Bluetooth接続を介して侵入される攻撃を軽減するために、Knoxでは以下のコントロールを提供しています。

  • Bluetoothを完全に無効にする – BluetoothとBluetoothのバックグラウンドスキャンをオフにします。
  • 特定の Bluetooth プロファイルの種類をブロック – ユーザーが接続できる Bluetooth デバイスの種類を制限します。
    • Bluetooth ヘッドフォンを許可する
    • 個人情報が漏洩する可能性のあるBluetoothのファイル転送をブロックする
USBクラスの制限

Knoxでは、異なるタイプのUSB接続デバイス、具体的にはusb.orgで定義されたUSBデバイスクラスを制限または許可することができます。この機能には、以下の USB デバイスクラスへのアクセスが含まれます。

  • オーディオ、ビデオ、オーディオ/ビデオ
  • マスストレージ
  • コンテンツセキュリティ
  • スマートカード
  • プリンター
  • ハブ、Type-Cブリッジ、ワイヤレスコントローラ
  • ヒューマンインターフェースデバイス(HID)
  • 通信、CDC制御、CDCデータ
  • パーソナルヘルスケア
  • ビルボード
  • 診断

例えば、スマートカードリーダー以外のUSBデバイスをすべてブロックすることができます。

Samsung DeX Management

Samsung DeXは、それがラップトップやデスクトップコンピュータであるかのようにあなたの携帯電話を使用することができますユニークな製品です。あなたは、単にモニターにお使いの携帯電話を接続し、オプションでアプリを起動するには、マウス、キーボード、またはSペンを使用して、オブジェクトを移動し、テキストを入力し、テキストを書いたり、画像を描画します。

 

DeXは3つのモードをサポートしています。

  • DeXモード – 接続したモニターに電話機の画面が表示されます。キーボードとマウスを接続してテキストを入力したり、モニター上でカーソルを移動させることができます。このモードを使用して、文書の読み書き、ビデオ会議への参加、より複雑な電子メールの作成、画像の編集、またはスライドプレゼンテーションの開発を行うことができます。
  • 画面ミラーリング – 携帯電話の画面がモニター上に複製されます。画像やビデオを表示するには、このモードを使用します。
  • デュアルモード – 電話機の画面とモニターの両方を同時に使用できます。

以下のいずれかのオプションを使用して、スマホをモニターや周辺機器に接続することができます。

  • Samsung DeXドッキングステーション
  • Samsung DeXドッキングパッド
  • HDMIアダプターへのUSB-C

なぜSamsung DeXを使うのか?

ノートパソコンと携帯電話の両方を持ち歩く必要がない代わりに、今では携帯電話だけが必要です。1台のポータブルデバイスを通して、従来の大画面で文書の作成、スプレッドシートの編集、プレゼンテーションの作成を素早く行うことができます。別のノートパソコンを購入したり、持ち運ぶ必要はありません。DeXモードは、従業員をノートパソコンから解放し、企業に多くの資本コスト削減の機会を提供します。

 

DeXをカスタマイズするためにKnoxを使う

企業は、SamsungのKnoxプラットフォームを使用して、Samsung DeXの動作方法を確保することができ、彼らはDeXに付属の革新性と生産性を犠牲にすることなく、Knoxプラットフォームの防衛グレードのセキュリティ機能から恩恵を受けることができます。

DeXモードで大画面を使用すると、機密情報が通行人に見える可能性があることを意味します。そのため、Knoxプラットフォームを使用して、DeXモードでのセキュリティを向上させることができます。以下のようなセキュリティポリシーを導入することができます。

  • DeXモード時の画面タイムアウトの設定
  • イーサネット接続のみを許可し、Wi-Fiや携帯電話のデータは許可しない
  • DeXモードで特定のアプリを無効にする(例:機密データを表示するアプリなど
  • DeXモードの無効化

Knox Platformを使ってDeXインターフェースをカスタマイズすることもできます。利用可能なカスタマイズには以下のようなものがあります。

  • DeXの読み込み画面に会社のロゴをアップロードする
  • DeXランチャーからショートカットを追加・削除する

Samsung DeXのユニークな利点

  • モバイルデスクトップ体験 – デスクトップ環境で、外出先での電話使用を可能にします。
  • 別途のノートパソコンは不要です。携帯電話を使って必要なアプリやファイルに直接アクセスできます。
  • デスクトップでの防衛レベルのセキュリティ – デスクトップ環境の生産性向上を維持しながら、業界をリードするセキュリティでユーザーと企業を保護します。
  • ユニバーサルアプリの互換性 – デバイスにプリインストールされているSamsungやAndroidのネイティブアプリと互換性があります。Microsoft OfficeやAdobe Photoshop Expressなどの一般的なアプリも、DeXでの使用に最適化されており、より大きなマルチアプリのディスプレイを活用できます。
  • カスタマイズ可能 – モバイルアプリの開発者は、Knox SDKのDeX APIを使用して、DeXを使用している間にアプリを強化したり、制御したりすることができます。

Firewall Management

ほとんどのモバイルデバイスプラットフォームでは、内蔵ファイアウォールを使用していますが、ファイアウォールの設定やアクティビティをきめ細かく制御することはできません。Knox Platformを使用すると、企業のセキュリティニーズに合わせたファイアウォール構成を導入することができます。

デバイスのファイアウォールを管理・カスタマイズする理由

デフォルトのファイアウォールでは、組織に必要なセキュリティとデータ保護を提供できない場合があります。実際、ファイアウォールの中には、ファイアウォールが適用しているルールを確認できないものもあります。しかし、Samsung Knox Platformでファイアウォールを構成すると、どのようなポリシーが展開されているかを正確に把握し、企業システムのセキュリティを確保するための追加対策を講じることができます。

Samsung Knoxプラットフォームを使用すると、以下のことが可能になります。

  • 特定のIPアドレスとドメインへのインターネットアクセスの制限とリダイレクト
  • アプリ単位またはデバイス単位でファイアウォールポリシーを設定する
  • ユーザーがアクセスしたブラックリストのドメインを報告するログを作成する

インターネットアクセスのきめ細かな制御

適切なインターネットアクセス制限を設定することで、許可されるネットワーク接続を信頼できるアドレスのみに制限することができます。Knox Platformにはさまざまな制限方法があり、それらをすべて併用することができます。

  • IP アドレスフィルタ – 特定の IP アドレスへのアクセスを許可、拒否、およびリダイレクトします。送信データ、受信データ、またはその両方に適用するフィルタを構成します。IPv4 および IPv6 フォーマットのアドレスの両方を許可または拒否します。
  • ドメイン名フィルタ – ドメイン全体またはサブドメインへのアクセスを許可または拒否します。
  • アプリごとおよびデバイス全体のモード – 機密データを扱うアプリなど、特定のアプリにはより強力なファイアウォールを、デバイス上の他のすべてのアプリにはより寛大なファイアウォール構成を与えます。

安全でないURLへのアクセスを記録する

Knoxプラットフォームは、ブロックされたドメインへのアクセスを拒否する試みを可視化します。可視性が向上することで、組織内の潜在的なセキュリティ侵害や安全ではない閲覧方法を常に意識することができます。

Knox Platform は、次の情報を含むレポートをログに記録します。

  • アプリ名 – ブロックされたドメインにアクセスしようとしたアプリのパッケージ名。
  • ブロックされたドメイン URL – ファイアウォールによってブラックリストに登録されたドメイン名の URL。
  • タイムスタンプ – インシデントのトラブルシューティングを支援するために、インシデントが発生した時間。

リモートコントロール

IT管理者が解決しなければならない問題が複雑化する中、Knox Remote Controlは、IT管理者が迅速かつリモートで問題を解決するための強力な方法を提供します。IT管理者は、リモートデバイスの画面が表示されている内容にリアルタイムでアクセスできるだけでなく、指、キーボード、マウスのイベントなどのアクションを注入してコントロールすることができます。他のモバイルプラットフォームでも、リモートデバイスのディスプレイをリモートで表示する機能はありますが、サードパーティ製のソリューションを必要とせずにデバイスをビルトインでリモートコントロールできるのはKnoxだけです。

 

使用例をご紹介します。ある企業の従業員が出張中です。会社支給の携帯電話に問題が発生し、従業員は企業のIT管理者に連絡します。IT管理者はEMMコンソールを使用してリモートでデバイスの画面を表示して問題を直接観察し、指、マウス、キーボードの操作でデバイスをリモートで制御します。IT管理者は環境に直接アクセスして、デバイス上の問題をリモートでデバッグします。従業員は、口頭や電子メールでの指示の中継に伴うイライラするダウンタイムがなく、迅速に生産性を上げることができるようになりました。

デバイスの画面を連続的にポーリングしても、デバイスは画面の変更のみを送信するため、デバイスのパフォーマンスに影響を与えません。

Knox Remote Control のユニークな利点

Knoxプラットフォームは、サードパーティ製のソリューションを必要とせずに、組み込みのリモートコントロールを提供します。企業にとって、このコントロールは以下の通りです。

  • IT管理者がリモートモバイルデバイスの問題をリアルタイムでトラブルシューティングできるようにすることで、時間を節約します。
  • 迅速な問題解決により、従業員のダウンタイムを削減し、従業員の生産性を最適化します。
  • 企業のポリシー違反がないかどうか、デバイスの是正措置とともにデバイスの監視を可能にします。

監査ログ

深刻なセキュリティ侵害のトラブルシューティングが必要な組織は、実際の侵害や潜在的な侵害に至るまでの活動をフォレンジックに分析するために、監査ログに頼っています。規制された業界では、これらの監査証跡は、セキュリティ監査に準拠するための必須要件となっています。

Knoxプラットフォームを使用すると、企業のIT管理者はEMMコンソールを使用して、すべての企業デバイスの監査ログを有効にすることができます。IT管理者は、随時監査ログをプロアクティブに取得し、マルウェアやウイルスを早期に検出して防御することができます。侵入の可能性がある場合、IT管理者は、不正な活動のためにログに記録されたイベントを解析することができます。

Knoxプラットフォームの監査ログは、以下のようなデバイスイベントに関する包括的な情報を提供します。

  • Knox Workspace コンテナのアクティビティ
  • デバイスとコンテナに設定されたパスワードポリシー
  • アプリのインストールと削除
  • 証明書の失敗と鍵の生成
  • アカウントの作成と削除
  • Wi-Fi経由でのファイル交換の試み

デバイスストレージの管理を改善するために、IT 管理者は監査ログのサイズを管理できます。

企業にとってのメリットは以下の通りです。

  • マルウェアやウイルスの早期検出と防御。
  • 強力なトラブルシューティングデータを使用して、IT 管理者に権限を与えます。
  • 規制された業界で義務付けられている要件への準拠。
  • Mobile Device Fundamentals Protection Profile (MDFPP) 2.0 への準拠。
  • イベントを収集するための要件を満たしています。

ユーザー認証

生体認証

従来のユーザ認証は、パスワードやIDカードなど、あなたが知っているものや持っているものに依存しています。これらは、人為的なミス、フィッシング、複製の影響を受けやすいものです。バイオメトリクス認証は、指紋、虹彩、顔の特徴などの個人的な特徴を検証します。このような場合には、このような情報は、以下のように使用されます。ユーザーは、バイオメトリクスを使用してデバイスやアプリコンテナのロックを解除することができます。Samsung Passを通じて、ユーザーはまた、アプリやウェブサイトにログインするために生体認証を使用することができます。

Knox Biometricsの利点

 

Knoxプラットフォームは、Androidの標準機能に加えて以下の機能を提供します。

  • セキュアなストレージ – Samsungのデバイスでは、認証ソフトウェアはユーザーの生体情報測定値を共有したり配布したりしません。測定値は、元のバイオメトリクスを再現するために使用できない形式で保存され、バイオメトリクス・ハードウェアにアクセスできるTrustZoneの特定の部分内でのみアクセスおよびデコードが可能です。バイオメトリクスは、正しいデバイス上で、正しいユーザーによってのみ使用されます。この機能により、誰かが生体認証情報を偽装してデバイスにアクセスする可能性が低くなります。
  • 強制的な二要素認証 (2FA) – Knox プラットフォームでは、IT 管理者は、Knox ワークスペースのために生体認証を使用した二要素認証を強制するオプションを提供します。たとえば、標準的なデバイスのロック解除方法(パスワード、PIN、パターン)に加えて、虹彩スキャンによる認証をユーザーに要求することができます。Androidでは2要素認証の組み合わせがいくつか提供されていますが、Knoxプラットフォームでは生体認証の統合により、セキュリティをさらに一歩進めることができます。
  • Samsung Passの統合 – アプリはSamsung Pass APIを使用して、従来のログインとパスワードの代わりに生体認証を実施することができます。この認証方法は、デバイスのセキュリティをさらに向上させながら、パスワード管理のオーバーヘッドを大幅に削減することができます。Samsung Pass は以下の機能を備えています。
    • 高速IDENTIFICATION ONLINE(FIDO)認証をサポート
    • ユーザーのバイオメトリクスの登録と登録解除
    • リモートワイプ要求に対応
    • 認証トランザクションの管理
    • TrustZoneの安全な世界で働く
  • エンタープライズ資格情報のオーバーライド – エンタープライズポリシーで必要な場合、Knox デバイスでは、デバイスまたは Knox Workspace コンテナのロックを解除するためにエンタープライズ AD 資格情報の使用を強制することができます。この設定は、ユーザーによって設定された生体認証をすべて上書きし、ユーザーにエンタープライズ認証情報の使用を強制します。

アプリとデータ保護

企業向け生産性向上アプリ

モバイルアプリは、コミュニケーションの新しいチャネルを提供し、顧客エンゲージメントを革新し、リアルタイムで重要なデータを持つ組織に権限を与えることで、私たちの仕事の仕方を変えてきました。Samsung Knoxデバイスは、個人とビジネスの両方で使用するための生産性アプリのセットが含まれています。

ビジネスに不可欠なアプリには、Samsung電子メール、インターネットブラウザ、カレンダー、連絡先などがあります。企業のIT管理者は、Knox Workspace内でこれらのアプリケーションと、企業で使用される他のアプリケーションを保護することができます。

Knox Platformは、以下の方法でエンタープライズアプリを保護し、機密アプリのデータを保護します。

  • アプリのインストールと更新 – アプリはモバイルデバイスの安全なKnox Workspace内にプリインストールされており、Google Playを介してファームウェアの更新とは無関係にアプリを更新することができます。
  • アプリの分離 – アプリはKnox Workspace内でサンドボックス化され、個人アプリがKnox Workspace内のビジネスアプリに干渉しないように、Android用のSEを使用しています。
  • アプリのパーミッション – Knoxはアプリのパーミッション監視機能を提供し、ユーザーが強力なパーミッションを使用してデバイスやKnox Workspaceに不正にアクセスするマルウェアを防止します。
  • 休止中のデータ – Knoxのセンシティブデータ保護(SDP)により、アプリで使用されるファイルとデータは、デバイスのロック解除時またはKnox Workspaceログイン時にデバイスユーザーが認証するまで暗号化されたままになります。個々のアプリでは、別の防御策としてアプリ固有のパスワードを導入することができます。
  • Data In Transit – 公共のインターネットを介して送信されるアプリのデータは、Knoxの高度なVPN機能を使用して安全に保護することができます。
  • DeX 統合 – すべての Samsung ネイティブアプリが DeX 内で動作するように最適化されているだけでなく、DeX で表示されている間に入力します。

Samsung電子メール

Samsungの電子メールアプリは、モバイルデバイスの電子メールカレンダー、タスク、メモ機能の安全な同期を必要とするお客様のために独自に設計されています。電子メールアプリは、MS Exchange ActiveSync (EAS) を使用して、会社の認証情報を使用してシングルサインオンすることができます。

サードパーティ製のセキュリティソリューションとは対照的に、Samsungの電子メールアプリは、自動的に機密データ保護(SDP)をデフォルトで使用しています。

  • 電子メールのテキストと添付ファイルの保護
  • 受信メールや通知をリアルタイムで安全に

Samsungの電子メールアプリは、これらの主なメリットを提供します。

  • 生産性
    • EASによるシングルサインオン(SSO)
    • 連絡先、カレンダー、タスク、ノートデータのEAS同期化
    • 統合 LDAP クエリのサポート
  • セキュリティ
    • アカウントのEAS認証
    • S/MIMEメッセージのEAS認証
    • EAS認証取り消しチェック
    • EAS認証履歴サポート
    • カード認証対応
  • 管理
    • LDAPアカウント管理
    • EASアカウント管理

Samsungのインターネットブラウザ

Samsungのインターネットブラウザは、企業に次のようなセキュリティ機能を提供しています。

  • 生体認証 – IT管理者は、ウェブサイトのログイン、ウェブ決済、およびシークレットモードへのアクセスのために、生体認証を強制することができます。
  • シークレットモードのパスワード – IT管理者は、機密のブックマークや保存されたページを含むことができるシークレットモードへのパスワードアクセスを強制することができます。
  • 保護されたブラウジング – IT管理者は、パスワードやクレジットカード情報などの機密データを盗もうとする可能性のある既知の悪質サイトを閲覧しようとした場合、ユーザーに警告を表示して警告することができます。
  • コンテンツブロッカー – IT管理者は、サードパーティ製プラグインを使用して、以下のようなコンテンツをフィルタリングできるようにすることができます。
    • 広告(クッキー、マルウェア、ウイルスを含む可能性のあるもの)
    • オンライン活動を監視することができる見えないトラッカー

企業は、次の追加機能を利用して、モバイルブラウジングの安全性を確保することができます。

  • HTTP プロキシの設定
  • ブラウザトラフィックのTLS暗号化を有効にする
  • URLまたはドメインのフィルタリング
  • 拡張機能を使ってポップアップをブロック
  • JavaScriptを無効にするか、有効にする
  • 帳票の自動入力を無効または有効にする
  • クッキー、保存されたサインインデータを無効または有効にする
  • 個人情報の削除・保存

Samsungの連絡先

連絡先はコラボレーションビジネス環境の生命線であり、モバイルワーカーがつながりを維持するための力を与えます。企業は、従業員に連絡先への簡単なアクセスを提供することと、個人の連絡先情報を悪用されないように保護することの間で絶妙なバランスを取る必要があります。

Samsungの連絡先アプリでは、企業は以下の機能を無効にしたり、有効にしたりすることができます。

  • MS ExchangeまたはActiveSyncサーバーとの連絡先データの同期化
  • Knox Workspaceコンテナの内外での連絡先データの同期化
  • SIMカードへの連絡先のコピー
  • 電話の最後に連絡先にアクセスする

高度なアプリ管理

企業は、アプリを効果的に展開し、アプリライセンスを管理し、アプリのセキュリティを確保し、アプリの使用状況を最適化し、アプリデータを安全に処理するために、強力なモバイルアプリケーション管理(MAM)戦略を必要としています。Knoxプラットフォームは、包括的なアプリ管理機能を提供し、IT管理者はデバイスにインストールされたアプリのあらゆる側面をコントロールすることができます。また、これらの機能を安全なKnoxワークスペース内に拡張して、機密性の高いアプリやデータの安全な保管場所を提供することもできます。

企業はEMMソリューションを使用して、アプリを集中的に設定し、リモートで管理しています。Knoxは管理機能を完全に補完し、IT管理者に以下のような機能を提供します。

  • アプリのインストール、アンインストール、アップデート、有効化、無効化、起動、停止、データ消去
  • 以下のものをホワイトリストまたはブラックリストに登録します。
    • インストール可能なアプリ
    • 自動更新アプリ
    • クリップボードが使えるアプリ
    • ユーザーが起動したり停止したりできるアプリ
    • USBポートにアクセスできるアプリ
    • アプリアカウント、パーミッション、通知
  • Google Play、Google Chrome、ボイスダイヤラー、YouTubeなどの他のアプリを無効化または有効化する
  • アプリのコードサイズ、キャッシュサイズ、データサイズ、合計サイズ、通知モード、制限事項などの情報を取得します。
  • アプリの起動回数、コンポーネントの状態、アプリのフォーカス状態、CPU使用量、データサイズ、メモリ使用量、ネットワーク統計などの統計を取得します。

Knox App Managementのユニークな利点

Knoxプラットフォームが他のモバイルプラットフォームと異なる点は、他のソリューションにはない高度なアプリ管理機能であり、企業が完全に効率的で生産性の高いサービスを提供するための追加の利点を提供しています。

 

アプリ制御
  • キャッシュデータのクリア – 個々のアプリまたはアプリのリストのキャッシュメモリを削除して、スペースを最適化し、データを完全にコントロールできます。
  • インテントによるデフォルトアプリの設定 – あるアプリを特定のタスクのプライマリアプリとして設定します。例えば、ソリューションが特定のインターネットブラウザのみを使用するようにしたり、SMSサービスを会社の厳格なポリシーに従うように強制したりすることができます。
  • 管理者特権 – 管理者は、アプリがホワイトリストに登録されたアプリの一部でない限り、他の管理者のアプリのアクティブ化を防ぐことができます。
高度なアプリのブラック化とホワイトリスト化
  • クリップボードアクセス – アプリ内のAndroidネイティブクリップボードへのアクセスを防止します。アプリがクリップボードを使用しようとすると、コンテンツは削除されます。
  • USB アクセス – アプリが使用する 1 つ以上の USB デバイスのユーザー許可を防止します。
  • アプリごとの通知のブロック – アプリのステータスバーの通知を防止し、テキスト、サウンド、またはその両方をブロックするかどうかを選択します。
  • アプリのウィジェット – 承認されたウィジェットパッケージのみをKnox Workspaceコンテナに許可し、Samsungデバイスでランチャーモードで表示します。
粒状のアプリコントロール
  • サイレントアプリサイドローディング – ユーザーの操作や許可なしにアプリを静かにインストールします。
  • アプリコンポーネントの無効化 – アクティビティ、レシーバー、サービス、プロバイダクラスなどの特定のパッケージコンポーネントを有効化または無効化します。
  • バッテリーの最適化 – GoogleのDozeモード、アプリのスタンバイまたは省電力モードからアプリをホワイトリスト化します。
  • アプリの強制停止と起動 – バックグラウンドプロセスやシステムアプリを含むすべてのアプリを強制的に停止します。
  • アプリフォーカス – 任意のアプリを監視し、ユーザーがホワイトリストに登録されたアプリのウィンドウから離れると通知を受け取ります。
  • アプリ名やアプリアイコンの変更 – アプリのパッケージ名やアイコンを変更できます。

付録

Knox認証

Knox Platformは、世界中の政府や大手企業が設定した厳しいセキュリティ要件を満たすことに成功し、信頼性の高いモバイルセキュリティソリューションを組織に提供しています。Knoxプラットフォームで取得した認証は、そのモバイルデバイスを軍事などの機密性の高い業界で展開することができます。

Samsung Knoxは、世界中の産業や機関向けの認証を継続的に追加しています。認証の詳細と最新のリストを確認するには、Knoxの認証を参照してください。

他のモバイルプラットフォームとは異なり、Knoxプラットフォームは以下の国のセキュリティ要件を満たしていることが認定されています。

USAUKGermanyFranceSpainFinlandNetherlands
MDFPPEUDCPAEndorsementVS-NfDCSPNCCNFICORANCSA
Samsung

pre-approved

方法論

認証は、特定のハードウェアとソフトウェアを使用する独立したボードによって付与されます。例えば、Knox 3.0を実行しているGalaxy S8に対して1つの認証が付与される場合があります。これらの認証は、有効性を維持するために、各デバイスとOSの反復で更新する必要があります。Samsungは、業界のコンプライアンスを維持することに専念し、当社の数多くの認証を成長させ、維持し続けています。

セキュリティの原則

これらの認証の多くには、デバイスが守らなければならないセキュリティ原則が定められています。ここでは、認証時に検証されたセキュリティ原則の例をいくつか紹介します。

  • データ転送中の保護 – デバイスはデータ転送中のデータを十分に保護していますか?
    はい – 高度な VPN、証明書管理、およびコモン クライテリア モードで達成されます。
  • データアットレスト保護 – デバイスはデフォルトで暗号化されたデータを提供していますか?デバイスがロックされている場合、そのデータは暗号化されていますか?
    はい – Knox Workspace と機密データ保護で実現します。
  • 認証 – デバイスは安全な認証方法を提供していますか?
    はい – クライアント証明書マネージャとバイオメトリクスを含むユーザー認証方法で実現しています。
  • セキュアなブート – デバイスには、ブートアッププロセスが変更されないようにするためのメカニズムがありますか?
    はい – ハードウェアでバックアップされた Root of Trust と Trusted Boot で実現しています。
  • プラットフォームの完全性 – デバイスはプラットフォームの完全性を保証していますか?プラットフォームの完全性を照会できますか?
    はい – リアルタイムカーネル保護、デバイスヘルス認証、および改ざん時のセキュアロックダウンにより達成されています。
  • アプリのサンドボックス化 – デバイスはアプリのサンドボックス化を提供していますか?
    はい – Knox WorkspaceとSEAMSで実現しています。
  • アプリのホワイトリスト化 – デバイスはアプリのホワイトリスト化とブラックリスト化を許可していますか?
    はい – Advanced App Managementで実現しています。
  • セキュリティポリシーの実施 – デバイスはセキュリティポリシーの実施を許可していますか?ユーザーの活動よりも優先されますか?
    はい – 1500以上のAPIを提供するKnox SDK上に構築されたEMMポリシーを完全に補完することで実現しています。
  • 外部インターフェースの保護 – デバイスはBluetooth、USB、NFCなどの外部周辺機器の制御を可能にしていますか?
    はい – 粒度の高いデバイス管理により実現しています。
  • デバイス・アップデート・ポリシー – 進化する組織のニーズに合わせて、デバイスは意図的なOSアップデートを提供できますか?
    はい – デバイスソフトウェアアップデート管理で実現します。
  • 企業分析のためのイベント収集 – デバイスはビジネスデータの収集とその後の監査を可能にしますか?
    はい – 監査ログで実現します。
  • インシデント対応 – デバイスを紛失、盗難、破損した場合に管理できますか?
    はい – カスタムロックスクリーン情報、リモートデータワイプ、何度もログインに失敗した後の自動ワイプ、およびリモート工場出荷時リセットにより実現しています。

これはあなたにとって何を意味するのでしょうか?Samsung Knoxの総合的なセキュリティプラットフォームは、最高のセキュリティ要件と基準に準拠しているので安心してお使いいただけます。Samsung Knoxのデバイスは、既存のITインフラストラクチャとの強固な統合を提供し、あなたの展開に機能的またはセキュリティ上のギャップがないことを保証し、組織のアプリやデータを保護するために一から構築されています。

Common Criteria Mode

Knoxは、防衛産業に合わせた高度なデバイス設定をサポートしています。Knoxの1つの設定で、デバイスを準拠状態にするために必要な多くの設定を適用することができます。Common Criteria ModeまたはCC Modeと呼ばれるこの設定は、防衛レベルのセキュリティ要件を満たす必要がある配備のためにデバイスを正しく設定する作業を簡素化するのに役立ちます。Common Criteria for Information Technology Security Evaluation (Common Criteria for Information Technology Security Evaluation) は、一般的に Common Criteria と呼ばれる、情報技術製品のセキュリティ目標を定義し、ベンダーがこれらの目標に準拠しているかどうかを評価するための国際的に認知された基準です。多くの政府が、独自の認証スキームの基礎としてコモンクライテリアを使用しています。

Knoxプラットフォームが組み込まれたSamsung Galaxyデバイスの一部が、コモンクライテリア(CC)認証を取得しました。今回のCC認証は、企業で使用するモバイルデバイスのセキュリティ要件に対応した国家情報保証パートナーシップ(NIAP)の新しいモバイルデバイスファンダメンタルズ保護プロファイル(MDFPP)を対象としています。Samsung Knoxは、機密情報の全範囲を扱うことができる初のNIAP認証を受けたコンシューマ・モバイル・デバイスとして、米国政府から承認されています。

IT 管理者は、デバイスを Common Criteria 構成に配置することを有効にすることができます。有効にすると、デバイスは:

  • ブートローダのダウンロードモードをブロックし、ソフトウェアの更新のための手動方法
  • キー削除時の追加キーのゼロ化を必須とする
  • 認証されていないBluetooth接続を防止
  • FOTA の更新には 2048 ビットの RSA-PSS 署名が必要です。
  • 他の多くのセキュリティ設定を使用しています。

Common Criteria Mode の上に他のオプションの設定ステップが推奨されていますが、その価値は明らかです。高セキュリティの導入のためにエンドポイントの正しい設定を簡素化することで、時間を節約し、設定ミスや追加のセキュリティリスクにつながるミスを防ぐことができます。

詳細情報については、以下のナレッジベースの記事を参照してください。

  • コモンクライテリアモード、サポートされているSamsungデバイス、およびテストAPK
  • Androidバージョン別コモンクライテリア評価

 

コメント

タイトルとURLをコピーしました